APP资产

案例1,2

案例1：名称获取APP信息（爱企查/小蓝本/七麦/点点）

1、爱企查知识产权
2、七麦&点点查名称

案例2：URL网站备案查APP

1、查备案信息在搜
2、网站上有APP下载
3、市场直接搜单位名称

获取敏感信息&资产

通过获取App配置、数据包，去获取url、api、osskey、js等敏感信息。
1、资产信息-IP 域名网站 -转到对应Web测试接口测试服务测试
2、泄露信息-配置key 资源文件 - key（osskey利用，邮件配置等）
3、代码信息-java代码安全问题 - 逆向相关

APP中收集资产

1、抓包-动态表现
2、提取-静态表现&动态调试
3、搜索-静态表现

各方法优缺点

1、抓包抓表现出来的数据
优点：没有误报
缺点：无法做到完整
状态：动态，点击登录时，有交互的动作

2、反编译从源码中提取数据
优点：数据较为完整
缺点：有很多无用的资产
状态：静态，没有做任何事情
注意：无法搜索出加密的网址。
平台原理：正则表达式的匹配搜索查询

3、动态调试从表现中提取数据(MobSF)
优点：没有误报，解决不能抓包不能代理等情况
优点；搞逆向的人能看到实时的app调用链等
缺点：无法做到完整–不点就不收集

案例：某APP打开无数据包，登录有数据包（反编译后未找到目标资产，抓包住到了）
原因：那个登录界面是APP打包的资源，并没有对外发送数据。

案例3

案例3：APP提取信息-静态分析
1、MobSF（破解逆向反编译）（动静态分析）– 告别抓包上抓不到的问题，调试的数据很全面。
2、AppInfoScanner
3、两个在线平台
mogua
平台静态分析：zhihuaspace
工具：
kelvinBen
MobSF
Windows - MobSF安装参考：
个人博客参考
 CSDN

案例3：APP提取信息-动态抓包