基于OWASP的移动应用安全测试

Question

我想对安装在我的手机上的移动应用程序执行安全测试(基本上安装了应用程序的apk )。设置全部完成。如果我加载任何web应用程序，ZAP正在记录通过移动完成的所有电话。但是，当我打开应用程序并执行任何操作时，页面只是显示加载图标，但是数据没有显示，ZAP应用程序中也没有任何记录。有谁能帮我用ZAP工具在android设备上做移动应用程序安全测试吗？

Answer 1

这有一个常见问题：https://www.zaproxy.org/faq/can-zap-be-used-to-test-mobile-apps/

基本上，您有四种选择来处理证书、钉扎等问题：

在受信任的证书store

• Overwriting中添加自定义CA的
• 使用Frida将带有自定义CA证书
• 的打包CA证书挂钩和绕过SSL证书checks
• Reversing自定义证书代码