先看看要测试的APP,它的服务架构是否满足
RESTful
或非 SOAP Web Service,
或者不需要安全包络的 SOAP 服务
咨询技术后,发现我们的APP确实不支持,故设置代理后,不能录制。
下图是代理设置后,抓取的其他APP的信息,但自家的APP抓取不到:
参照:https://www.ibm.com/support/knowledgecenter/zh/SSPH29_9.0.2/com.ibm.help.common.infocenter.aps/c_NonSOAP.html
===================
APPscan设置代理,录制APP的页面,操作步骤,可参照:https://blog.csdn.net/yuleng/article/details/80105355
手机或模拟器 安装APPscan SSL证书,参照:https://www.ibm.com/support/knowledgecenter/zh/SSPH29_9.0.2/com.ibm.help.common.infocenter.aps/c_ScanConfigurationWizard002.html
(我选择的这种方式:在电脑上安装AppScan SSL,同时导出证书,将证书放到手机上,并安装在手机上,通过手机浏览器访问http://appscan的方式 访问不了)
安卓模拟器 设置代理,参照:https://blog.csdn.net/wudinaniya/article/details/78841564
====================
问题:
①APP的安全测试,应该怎么测试,依赖工具? 熟悉APP安全测试的方法? fighting!
②APPscan的GSC是否适用??
解答:可以用appscan类似工具的扫描app的接口地址,目标是扫描接口安全漏洞,在实践后是可行的(接口请求也是HTTP request)