小步伐信息网络(小迪网络安全笔记~
免责声明:本文章仅用于交换学习,因文章内容而产生的任何违法&未授权举动,与文章作者无关!!!附:完整笔记目录~
ps:本人小白,笔记均在个人明白基础上整理,如有错误接待指正!
四、小步伐信息网络
[*]引子:本章对常见的小步伐信息网络方式做一先容。
[*]小步伐种类网络
网络方式与App种类网络大差不差。
[*]通过在线平台获取目的小步伐资产信息,如小蓝本:https://sou.xiaolanben.com/pc
以小米为例:
https://i-blog.csdnimg.cn/img_convert/3b5b3b57bc1019c35d7e8b4edaa04bba.png
不外需要留意的是,几乎所有在线平台信息库都会存在误报&未收录的大概,需要测试者举行额外判定。
[*]搜刮各提供小步伐服务的平台,如WX搜刮小步伐等。
例子同上:
https://i-blog.csdnimg.cn/img_convert/8bd204b241ebb62efb57cbf7dbd67165.png
[*]敏感信息网络
与App敏感信息网络相似,旨在网络由小步伐源码所泄露的敏感信息,如key、url、ip等。
[*]抓包
触发小步伐功能点,拦截数据包,并通过数据包分析&获取其大概存在的敏感信息。PC端WX小步伐抓包方式,详见:https://www.cnblogs.com/sjjjjer/p/18575053
使用小迪上课案例:
https://i-blog.csdnimg.cn/img_convert/1c4df2b6f698b223c02c678fba9feebb.png
[*]反编译&正则&手工
将缓存在PC的小步伐文件反编译为源码,再借助各平台提供的小步伐开发者IDE,通过源码正则&手工获取所泄露的敏感信息。
PC端WX小步伐缓存文件默认路径:
https://i-blog.csdnimg.cn/img_convert/38bae678a320e9878e4b191490742c00.png
小步伐反编译工具推荐,工具一:https://github.com/Ackites/KillWxapkg
例子同上:
https://i-blog.csdnimg.cn/img_convert/2cb0c0948a0b47ec5ebb5abb04aad2c4.png
除了正则匹配敏感信息外,也可将反编译后的源码导入WX开发者工具举行手工网络。
https://i-blog.csdnimg.cn/img_convert/8d4a40724488d6916f23ccd8eb747ff4.png
工具二:https://github.com/eeeeeeeeee-code/e0e1-wx
例子同上:
https://i-blog.csdnimg.cn/img_convert/6ca09683edf5739f116f506dad1f212c.png
相较于第一款,两款工具能实现的功能差不多,都包罗反编译&正则&hook等。不外第二款工具在使用时更方便一些,无需输入过多指令&参数,且默认匹配敏感信息,默认匹配规则相较第一款更全。个人更推荐第二款,不外需要留意的是,这两款工具针对目的仅为WX小步伐。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]