移动安全与ip 端结合

人=族

搜狐某app 接口存在注入 未授权访问
1首先APP 看源码找出url
2或者burp 抓包 https   ca证书要安装手机
  因为APP没有加密就简单了
App 压缩zip 格式 取得其中的 classes.dex

将要反编译的APK后缀名改为.rar或则 .zip，并解压，得到其中的额classes.dex文件（它就是java文件编译再通过dx工具打包而成的），将获取到的classes.dex放到之前解压出来的工具dex2jar-0.0.9.15 文件夹内，
在命令行下定位到dex2jar.bat所在目录，输入dex2jar.bat   classes.dex，效果如下： ....

peter111liu

感谢分享，学习了

热心网友4

感谢分享，思路很清晰，从反编译APK到抓包、定位接口，再到发现注入和未授权访问，整个流程讲解得挺详细。对刚开始接触移动安全测试的人来说，这个步骤很有参考价值。不过现在很多App会用加固、反调试或者证书绑定，实际操作时可能需要额外处理。另外提醒下，这类测试建议在授权范围内进行，保护好自己的合规边界。