Android APK和API漏洞扫描器

推荐阅读

App抓包

骚操作"破解"App

小程序逆向与抓包

Android抓包理论浅析

Wireshark抓包和分析

小程序逆向和抓包技巧浅析

App防抓包之VPN网络检测

iOS系统抓包入门实践之短链

App逆向之干掉vpn检测抓包

iphone手机还可以这样抓包

来人！快！把这个包给抓住了！

iOS系统抓包之短链-破解双向证书

基于chroot的内核级绕过越狱检测

App静态逆向分析思路浅析(过检测)

App抓包原理浅谈(避免抓包的方法)

IoT设备渗透测试环境搭建及常用工具

Burp Suite http代理+Sock5代理抓包

Android应用测试基础知识和代理抓包

Android App无法抓包的解决方案总结

无需安装证书可对任意App进行https抓包

burpsuite在各场景下的抓包方法(建议收藏)

Android平台HTTPS抓包解决方案及问题分析

Windows11支持的Android子系统进行APP抓包

移动端过检测抓包最全解决方案(建议收藏)

Android系统源码浅析之绕过VPN检测抓包

Android系统证书或定制系统解放https抓包

不同局域网无需安装证书对app进行https抓包

电脑做wifi热点手机连上后用Wireshark抓包

App防网络请求被代理抓包的完整解决思路或方法

Proxifier+BurpSuite对C/S架构客户端的安全测试

BurpSuite各版本及激活方法(App系统证书/解放Https抓包)

spy-debugger安装、远程调试和https抓包(骚操作绕过App检测)

AsyncHttpClient为什么无法用Fiddler/BurpSuite/Charles来抓包原理剖析

设置主题

下载:

系统要求

操作系统:MacOS(64位)，Windows(64位 & 32位)

运行内存:最小运行内存为4GB，建议运行内存为16GB（针对大型Android项目）

磁盘空间:10GB磁盘空间

依赖组件:Java1.8以上版本

Yaazhini的优势

1.一键即可扫描Android APK文件；

2.支持扫描Android端应用程序REST API（模拟器或实体设备）；

3.生成格式化扫描报告；

4.免费使用；

5.操作简单，界面友好；

使用步骤

1.开启Yaazhini应用程序

2.输入项目名称

3.上传需要扫描的APK文件

4.点击“Upload & Scan”（上传&扫描）按钮

5.扫描完成之后，我们将会查看到漏洞扫描详细报告

选择Android设备(真机/模拟器)

下载yaazhini_rootCA.crt证书

设置代理IP和端口

扫描Apk

yaazhini_rootCA.crt证书转换成Android系统证书

Android端应用程序REST API扫描功能可以帮助发现和识别下列攻击形式

1.SQL注入

2.命令注入

3.Header注入

4.跨站脚本XSS

5.安全Header缺失

6.响应Header中的敏感信息泄露

7.错误信息中的敏感信息泄露

8.服务器端输入验证缺失

9.禁止使用的HTTP方法

10.不正确的HTTP响应等

欢迎关注"哆啦安全"公众号和视频号，后续还有更多分享！