前期项目组接触的都是Web安全测试,今天做安全测试的时候,有一个项目刚好有H5页面,用以前那种AppScan内置浏览器的探索方式是不行的,研究了下,可以使用外部设备进行探索。
AppScan有两种手动探索方式,一种是AppScan的内置浏览器探索,另外一种就是外部设备探索,以前的Web类型安全测试就是运用的内置浏览器探索,今天的H5页面运用的就是外部设备探索。
与Web安全测试相比,H5的安全测试唯一不同的点就是在探索方式上,今天我们就分享下外部设备的探索方式。
1、安装FoxyProxy代理管理工具,打开火狐浏览器,在地址栏输入:about:addons,搜索:FoxyProxy组件
2、选择FoxyProxy Standard
3、下载并安装FoxyProxy Standard
4、打开拓展
5、添加端口信息
点击添加,输入标题,例如:AppScan,填好IP地址:127.0.0.1,端口:是AppScan的端口,填完保存即可
查找AppScan的端口?
点击手动探索--外部设备--就可在左上角看到一个端口,注意,这个端口号是变化的
6、启用这个代理
7、在火狐浏览器上可以抓取H5接口信息了
在火狐浏览器,打开被测的H5页面,就可以在AppScan页面看到抓取的接口信息了。
这样,就可以探索到H5页面的接口了。