那些年抓过的app

安全,不仅仅是不被入侵,不被DoS。。。数据安全也不能忽略
O2O风行,遍地都是客户端,奇葩的api甚至逻辑比比皆是。
一个常见的现状是,很多O2O平台的网站都很简单,甚至只是静态页,真正的功能全集中在手机App上。
可惜,大概App的设计者和Api的设计者普遍安全意识不高。
下边例子基本都是基于http协议的。

LBS相关的应用,免不了要取个当前位置查一下周边的服务者提供信息。
例如,打车混战时代,抓个包就能刷出来司机姓名、公司、工号、手机号的一片一片的。拿个代驾司机信息也是一样容易。
有些应用的产品逻辑其实完全没必要直接暴露信息,不过有些可能是API设计者完全不考虑直接就全吐出来了,也有些是为了把逻辑坐在应用端,然后就对请求方完全信任了。

还有一家做打车的,拿到生成环境的apk时,我还以为是个测试的包,api的地址都是172.16.0.0/12里的一个IP。
最后发现使用了某运营商的定向流量,需要插专门的SIM卡才能用(其实就是以公司名义批量采购的卡,然后批量定制定向流量的套餐)
该公司给司机的设备是批量订制的Android MTK平板,IMEI自增。
结果应用启动时带IMEI请求启动API,获取该设备上绑定的司机信息,姓名,公司,手机号,身份证号。。。全出来了。
而且早期定向内网的api从internet都可以直接访问,都能从公网写脚本刷。
这玩意儿,奇葩的启动逻辑和定制平板的设备唯一编号是个大坑。

还遇到过一个奇葩的应用,所有的应用逻辑都受限于第一个登录请求,登录验证成功后,后续的任何接口调用不带上任何类似session id的唯一标识,结果是抓到后续的包就可以直接拿着用了
这个除了叫脑残还能叫啥

国外某航班信息的服务商,有一个很老版本的SDK调用的API参数里需要带上开发者的账号和密码,虽然后来有了各种版本的新api,但是很不幸地从某个使用过老版本sdk的应用里发现了一个注释掉的明文的账号密码。
这个服务商做了几十年了,说啥好,不适合给客户端用的api就别提供到sdk里嘛

那些web上常见的就不多说了,例如某些奇葩参数能LFI的,随便搞搞就拿了shell。
Struts连爆几次远程执行,可是刺激,就不用说那些java写的服务端多不靠谱了,最奇葩的是某家还把mysql放在某云主机上,且mysql用户(当时貌似是root)不限制访问ip,读到数据库密码后数据就那么轻松到手了。
用第三方框架的该更新还是老老实实更新吧。mysql这种,要不限制个IP,要是觉得没有固定ip忍一下慢或者自己数据库服务器配个本地的dns加几个ptr什么的。

没了

那些年抓过的app by @sskaje: https://sskaje.me/2014/03/%e9%82%a3%e4%ba%9b%e5%b9%b4%e6%8a%93%e8%bf%87%e7%9a%84app/

OmniXXXX Keygen-ed

Login to read more

You are not authorised to read all content in this post.

Please login…

OmniXXXX Keygen-ed by @sskaje: https://sskaje.me/2014/01/omnixxxx-keygen-ed/

Incoming search terms:

How to Keygen Charles Proxy

You are not authorised to read all content in this post.

Please login…

How to Keygen Charles Proxy by @sskaje: https://sskaje.me/2014/01/how-to-keygen-charles-proxy/

Incoming search terms:

Keygen for Charles Proxy

You are not authorised to read all content in this post.

Please login…

Keygen for Charles Proxy by @sskaje: https://sskaje.me/2014/01/keygen-charles-proxy/

Jetbrains’ youtrack license & RSA algorithm study

You are not authorised to read all content in this post.

Please login…

Jetbrains’ youtrack license & RSA algorithm study by @sskaje: https://sskaje.me/2013/12/jetbrains-youtrack-license-rsa-algorithm-study/