查找app服务端漏洞的方法：

1、反编译APP：有两种反编译方式，dex2jar和AndroidKiller。加密加壳？脱壳解密
2、http[s]代理抓包：密文？基于FRIDA进行通信数据“解密”

获取APP域名信息：

通过Androidkiller反编译进行域名信息收集，查找字符串http
Log日志搜集

分析 API 接口：

App 爬虫和 Web 爬虫类似，只不过 APP 的接口和数据是需要通过抓包来分析的，而且绝大多数 APP 都会采用 HTTPS 加密协议传送数据
找到请求接口、各类参数、头部信息等

工具推荐

AppInfoScanner
10fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6C8k6h3I4$3K9h3&6n7k6h3&6Q4x3V1k6m8M7s2m8u0L8X3k6G2f1$3y4S2L8X3&6W2M7R3`.`.

App Scanner is a preflight submission check list for iOS developers. It searches code for private API usage. It is not perfect.
0a9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6m8L8X3c8J5k6i4N6e0j5$3S2W2L8X3E0Q4x3V1k6m8M7s2m8Q4x3X3c8e0j5$3q4F1L8X3g2J5

欢迎各位dl指正和补充:-)

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

#基础理论

收藏・2

免费・0

支持

最新回复 (2)
北冥鱼丶雪币： 122 活跃值： (561) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 1 关注私信	北冥鱼丶 2 楼用GDA可能好点 2021-7-6 11:39 0
小黄鸭爱学习雪币： 2630 活跃值： (5097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 288 粉丝 135 关注私信	小黄鸭爱学习 3 楼加壳加固的能分析吗 2021-7-7 14:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_堃

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
北冥鱼丶雪币： 122 活跃值： (561) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 1 关注私信	北冥鱼丶 2 楼用GDA可能好点 2021-7-6 11:39 0
小黄鸭爱学习雪币： 2630 活跃值： (5097) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 288 粉丝 135 关注私信	小黄鸭爱学习 3 楼加壳加固的能分析吗 2021-7-7 14:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复