Finding sqli on websites and exploiting them has been made simpler by the combination of acunetix and sqlmap. But in the case of andorid apps how does one scan for vulnerabilities and exploit them ? Are there any tools like acunetix for android apps? Are there any manuals for the same? Any information would be appreciated.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
How to SQLi an Andorid App
- Автор темы hackermania
- Дата начала
BurpSuite
Configuring an Android device to work with Burp Suite
You can configure an Android device to proxy HTTP traffic through Burp Suite. This enables you to test Android apps just like ordinary websites. The process ...
portswigger.net
Burp Suite Support Center
The Burp Suite Support Center - your source for help and advice on all things Burp-related. Browse our documentation, or contact us directly.
forum.portswigger.net
How to Use Burp Suite for Mobile App Testing
Learn how to monitor and test your mobile app’s API using Burp Suite, from configuration to intercepting requests and responses for security and performance.
www.qiscus.com
Mobile testing
You can use Burp Suite to perform security tests for mobile applications. To do this, you need to configure the mobile device to proxy its traffic via Burp ...
portswigger.net
Search Google for more information on using BurpSuite + android app testing. BurpSuite is a security scanner, just like Acunetix. These links are just an example.
RU: И снова Desoxyn оказался тут первый.
Дополню снова его сообщение. Советую посмотреть в сторону Charles , с помощью него можно прослушивать мобильный траффик и он имеет SSL Bypass для прослушки даже HTTPS протоколов. Тем самым можно произвести Информационную Разведку, что бы понять как работает API Мобильного Приложения, после чего симулировать вручную запросы и тестировать более подробно.
Конечно же, так же можно использовать Burp Suite, это тоже один из вариантов.
Но если у вас в целях совершить именно атаку как "чёрный хакер", советую использовать сначала Charles для Информационной Разведки, после чего применить полученную информацию в полном спектре, например просканировать API мобильного приложения при помощи Acunetix, Nessus, Zaproxy и прочим.
Провести ручное тестирование работы API Мобильного приложения и прочие-прочие методы обнаружения уязвимостей.
Желаю вам удачи
ENG: Once again, Desoxyn was first here.
I'll update his post again. I advise you to look in the direction of Charles, with it you can listen to mobile traffic and it has SSL Bypass to listen even to HTTPS protocols. Thus, you can perform Information Intelligence to understand how the Mobile Application API works, after which you can manually simulate requests and test in more detail.
Of course, you can also use Burp Suite, this is also one of the options.
But if you want to make an attack like a "black hacker", I advise you to use Charles for Information Intelligence first, and then apply the information received in the full spectrum, for example, scan the mobile application API using Acunetix, Nessus, Zaproxy and others.
Conduct manual testing of the Mobile Application API and other methods for detecting vulnerabilities.
Wish you luck
Дополню снова его сообщение. Советую посмотреть в сторону Charles , с помощью него можно прослушивать мобильный траффик и он имеет SSL Bypass для прослушки даже HTTPS протоколов. Тем самым можно произвести Информационную Разведку, что бы понять как работает API Мобильного Приложения, после чего симулировать вручную запросы и тестировать более подробно.
Конечно же, так же можно использовать Burp Suite, это тоже один из вариантов.
Но если у вас в целях совершить именно атаку как "чёрный хакер", советую использовать сначала Charles для Информационной Разведки, после чего применить полученную информацию в полном спектре, например просканировать API мобильного приложения при помощи Acunetix, Nessus, Zaproxy и прочим.
Провести ручное тестирование работы API Мобильного приложения и прочие-прочие методы обнаружения уязвимостей.
Желаю вам удачи
ENG: Once again, Desoxyn was first here.
I'll update his post again. I advise you to look in the direction of Charles, with it you can listen to mobile traffic and it has SSL Bypass to listen even to HTTPS protocols. Thus, you can perform Information Intelligence to understand how the Mobile Application API works, after which you can manually simulate requests and test in more detail.
Of course, you can also use Burp Suite, this is also one of the options.
But if you want to make an attack like a "black hacker", I advise you to use Charles for Information Intelligence first, and then apply the information received in the full spectrum, for example, scan the mobile application API using Acunetix, Nessus, Zaproxy and others.
Conduct manual testing of the Mobile Application API and other methods for detecting vulnerabilities.
Wish you luck
- Автор темы
- Добавить закладку
- #4
By charles you mean this? (https://www.charlesproxy.com/)
Yes, it's this)