那些年抓过的app

安全,不仅仅是不被入侵,不被DoS。。。数据安全也不能忽略
O2O风行,遍地都是客户端,奇葩的api甚至逻辑比比皆是。
一个常见的现状是,很多O2O平台的网站都很简单,甚至只是静态页,真正的功能全集中在手机App上。
可惜,大概App的设计者和Api的设计者普遍安全意识不高。
下边例子基本都是基于http协议的。

LBS相关的应用,免不了要取个当前位置查一下周边的服务者提供信息。
例如,打车混战时代,抓个包就能刷出来司机姓名、公司、工号、手机号的一片一片的。拿个代驾司机信息也是一样容易。
有些应用的产品逻辑其实完全没必要直接暴露信息,不过有些可能是API设计者完全不考虑直接就全吐出来了,也有些是为了把逻辑坐在应用端,然后就对请求方完全信任了。

还有一家做打车的,拿到生成环境的apk时,我还以为是个测试的包,api的地址都是172.16.0.0/12里的一个IP。
最后发现使用了某运营商的定向流量,需要插专门的SIM卡才能用(其实就是以公司名义批量采购的卡,然后批量定制定向流量的套餐)
该公司给司机的设备是批量订制的Android MTK平板,IMEI自增。
结果应用启动时带IMEI请求启动API,获取该设备上绑定的司机信息,姓名,公司,手机号,身份证号。。。全出来了。
而且早期定向内网的api从internet都可以直接访问,都能从公网写脚本刷。
这玩意儿,奇葩的启动逻辑和定制平板的设备唯一编号是个大坑。

还遇到过一个奇葩的应用,所有的应用逻辑都受限于第一个登录请求,登录验证成功后,后续的任何接口调用不带上任何类似session id的唯一标识,结果是抓到后续的包就可以直接拿着用了
这个除了叫脑残还能叫啥

国外某航班信息的服务商,有一个很老版本的SDK调用的API参数里需要带上开发者的账号和密码,虽然后来有了各种版本的新api,但是很不幸地从某个使用过老版本sdk的应用里发现了一个注释掉的明文的账号密码。
这个服务商做了几十年了,说啥好,不适合给客户端用的api就别提供到sdk里嘛

那些web上常见的就不多说了,例如某些奇葩参数能LFI的,随便搞搞就拿了shell。
Struts连爆几次远程执行,可是刺激,就不用说那些java写的服务端多不靠谱了,最奇葩的是某家还把mysql放在某云主机上,且mysql用户(当时貌似是root)不限制访问ip,读到数据库密码后数据就那么轻松到手了。
用第三方框架的该更新还是老老实实更新吧。mysql这种,要不限制个IP,要是觉得没有固定ip忍一下慢或者自己数据库服务器配个本地的dns加几个ptr什么的。

没了

那些年抓过的app by @sskaje: https://sskaje.me/2014/03/%e9%82%a3%e4%ba%9b%e5%b9%b4%e6%8a%93%e8%bf%87%e7%9a%84app/

Apple signed fake device attributes?

You are not authorised to read all content in this post.

Please login…

Apple signed fake device attributes? by @sskaje: https://sskaje.me/2013/10/apple-signed-fake-device-attributes/

How to get iDevice’s UDID from Mobile Safari?

This is an old topic, just make it as an intro to the coming article.

If you want to collect iOS users’ device detail, such as Serial Number, UDID, IMEI, you’ll find Apple provides an application called ‘iPhone Configuration Utility’.
You can download the iPhone Configuration Utility for Windows here and for OS X here.
Guys who ever tried to get an iOS Beta installed and worked might know this because of the mobileprovision stuff.
Run IPCU, choose ‘Configuration profiles’ and click the ‘New’ icon, you’ll see something like this:
ipcu snapshot

Write something and export as an unsigned mobileconfig file. Then open it with text editor, you’ll find a XML which means you can write your own without ipcu.
Take a look at this: https://developer.apple.com/library/ios/documentation/networkinginternet/conceptual/iphoneotaconfiguration/ConfigurationProfileExamples/ConfigurationProfileExamples.html, you’ll find more.

Continue reading “How to get iDevice’s UDID from Mobile Safari?” »

How to get iDevice’s UDID from Mobile Safari? by @sskaje: https://sskaje.me/2013/10/how-to-get-idevices-udid-from-mobile-safari/

Mac OS X Command line tools for Application Analysis

I was looking into a lib file provided by some SDK, I need to extract lib by architecture. The first choice was the super 7-Zip which can extract almost every file on the Earth, but unfortunately files cannot be recognized by Hopper/IDA.

Here we go on OS X 10.9.

file

Continue reading “Mac OS X Command line tools for Application Analysis” »

Mac OS X Command line tools for Application Analysis by @sskaje: https://sskaje.me/2013/10/mac-os-x-command-line-tools-for-application-analysis/

Protected: 一次基于LFI的入侵流程

This content is password protected. To view it please enter your password below:

Protected: 一次基于LFI的入侵流程 by @sskaje: https://sskaje.me/2013/04/%e4%b8%80%e6%ac%a1%e5%9f%ba%e4%ba%8elfi%e7%9a%84%e5%85%a5%e4%be%b5%e6%b5%81%e7%a8%8b/