【信息安全服务】APP测试之抓包详述

【前言】

随着移动端的普及，APP安全性检查显得越来越重要，而且APP测试作为渗透测试分类之一，也开始引起企业的重视。本章博客重点讲解测试前的准备工作，也就是抓包问题。此节内容以burp为例，其他工具类比即可。

不论是测试安卓APP（安装包后缀apk）还是IOS版APP（后缀ipa），需要做的前期工作就是设置代理局域网，简单的来说就是需要APP与电脑在同一个网络下。本篇博客内容主要包括两部分：设置代理，证书安装。下面我们先来讲解如何设置代理。

【设置代理】

STEP-1 设置局域网

一般使用电脑热点或者手机热点，建立一个临时的局域网。本博客以电脑热点建立局域网为例。

建立热点后，利用命令台 ipconfig 命令，查看热点IP：

这个IP比较重要，决定是否代理成功，将手机流量引导到工具中。

STEP-2 设置手机代理

此处IOS系统和Android系统设置操作一致，一般 点开wifi设置 —> 选择热点（第一步中的热点）—>高级设置—>代理（修改网络）

STEP-3 配置Burp工具以及导出证书

按照图中的顺序，点击，正常的话可以在Specific address中查看到我们的热点IP（192.168.137.1） ，选择此IP，配置端口号为8080

证书导出 0x1

 

 0x2

 0x3

 0x4

 0x5 导出的证书文件

 传输到安卓手机端，安装此证书即可。

网上有些博客也说了浏览器访问https://burp的方式安装证书，但是本人经过尝试，并不能安装成功（只有安卓机存在此问题），因为使用此方法下载的证书后缀为der,除非你能找到下载文件，修改 后缀。

STEP-4 IOS手机安装证书

因为苹果手机安装证书比较复杂，所以单独说一下。

连接上热点，并且设置好代理后，在Safari浏览器中，输入https://burp

 点击右上角的CA按钮，弹出下载证书界面：

 导入证书后，在通用设置中 选择 关于本机，勾选信任证书：

 

其他注意事项

0x1  关闭电脑防火墙

0x2  保证移动设备和电脑在同一局域网