前言
在授权的移动应用安全测试中,安全研究人员可以通过对 APK 进行静态分析,提取应用访问的 URL 和 IP 端点,从而全面评估应用的攻击面,发现潜在的安全漏洞,本文为大家介绍的这款工具,可以方便的为你分析app中存在的url。
注意:本文仅用于移动应用安全技术学习与授权安全测试。所有操作仅限本人合法拥有或获得明确书面授权的应用和网络环境。未经授权对他人应用进行逆向分析或对他人网络进行探测均属于违法行为,请严格遵守《中华人民共和国网络安全法》。
介绍
apk2url 可以轻松地将 URL 和 IP 端点从 APK 文件提取到 .txt 输出。这适合红队、渗透测试人员和开发人员收集信息,以快速识别与应用程序关联的端点。与 APKleaks、MobSF和 AppInfoScanner 相比,apk2url 识别出的端点数量明显增多。apk2url 进行了重写和升级,增加了 IP 支持、更强的正则表达式、自动过滤和 Jadx 反编译。
安装
在kali中安装也很简单,我们只需执行下面命令。
git clone https://github.com/n0mi1k/apk2url
# 安装依赖工具
apt-get install apktool
apt-get install jadx
./install.sh
测试
安装完成后,我们执行下面命令即可。
apk2url
接下来,我们随便下载一个app 进行测试。
为了方便,app随便重命名。这里我改为了33.apk。
apk2url "33.apk"
完成之后,在endpoints目录下会有txt文件。便是app中存在的url和IP地址。
应用
在获得应用开发者或企业的明确书面授权后,我们可以通过该工具提取应用的网络端点,结合授权范围内的端口扫描和资产探测,全面梳理应用的外部依赖和攻击面,为后续的安全测试提供依据。
免责声明
- 本工具仅用于合法的安全审计和开发调试目的
- 使用者必须确保对所分析的 APK 文件拥有合法使用权
- 任何非法使用本工具所造成的后果由使用者自行承担
- 作者不承担任何因违规操作引发的法律责任
© 版权声明
- 1、本网站名称: 赵志强的博客
- 2、本站永久网址:https://bk.zhaozhiqiang.pw/
- 3、本网站的文章部分内容可能来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
- 4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
- 5、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
- 6、本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
- 7、文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容