mobile-backend

$npx mdskill add wgpsec/AboutSecurity/mobile-backend

Test mobile backend APIs for security flaws and logic bugs.

  • Identify authentication bypasses and unauthorized access risks.
  • Integrates with Burp, Charles, and spray for API discovery.
  • Executes automated payloads against JWT, OAuth, and IDOR endpoints.
  • Reports findings with attack vectors and affected API versions.

SKILL.md

.github/skills/mobile-backendView on GitHub ↗
---
name: mobile-backend
description: "移动 App 后端 API 安全测试。当目标是移动应用的后端接口、发现 /api/v1/ 等移动端 API 路径、或需要测试 App 与服务器之间的通信安全时使用。覆盖 API 端点发现、认证机制测试、业务逻辑漏洞、移动端特有的安全问题"
metadata:
  tags: "mobile,api,backend,auth,app,ios,android,移动安全,业务逻辑,支付"
  category: "exploit"
---

# 移动 App 后端 API 安全测试方法论

移动后端 API 和传统 Web 的区别:移动端通常直接调用 REST API(不经过浏览器),认证机制、参数格式、业务逻辑都有移动端特色。

## ⛔ 深入参考(必读)

- 支付篡改、验证码绕过、竞态、数据安全、移动端特有问题 → [references/mobile-logic-bugs.md](references/mobile-logic-bugs.md)

## Phase 1: API 端点发现

```bash
# spray 目录爆破(推荐)
spray -u http://target -d $ABOUTSECURITY_ROOT/Dic/Web/Directory/Fuzz_common.txt
# 或 ffuf
ffuf -u http://target/FUZZ -w $ABOUTSECURITY_ROOT/Dic/Web/Directory/Fuzz_common.txt -mc 200,301,302,403
# /api/v1/, /api/v2/, /mobile/api/, /graphql
```
检查文档:`/docs`, `/swagger`, `/openapi.json`, `/redoc`

App 逆向:抓包(Burp/Charles)| APK 反编译搜索 URL 字符串

## Phase 2: 认证机制测试

| 认证方式 | 特征 | 攻击方向 |
|----------|------|----------|
| JWT | `Bearer eyJ...` | `jwt-attack-methodology` |
| API Key | `X-API-Key` | 泄露检测 |
| OAuth | `/oauth/token` | `oauth-sso-attack` |
| 自定义签名 | `sign=md5(...)` | 签名算法逆向 |

绕过测试:不带 Token 访问 | 过期 Token | 修改 user_id/role | 低权限访问高权限 API

## Phase 3: 业务逻辑漏洞

### 越权访问(IDOR)
```
GET /api/v1/users/1001/profile → 自己
GET /api/v1/users/1002/profile → 别人?→ IDOR!
```

### 支付/验证码/竞态
→ 详细方法和 payload → [references/mobile-logic-bugs.md](references/mobile-logic-bugs.md)

## 注意事项
- 移动 API 通常比 Web 更信任客户端——后端校验更少
- 注意 API 版本差异(v1 可能有漏洞,v2 修复了但 v1 未下线)

More from wgpsec/AboutSecurity

SkillDescription
401-403-bypass401/403 访问拒绝绕过方法论。当遇到管理后台、API 端点返回 401/403 Forbidden 时使用。覆盖路径操纵、HTTP 方法篡改、Header 注入、协议降级、组合攻击
ad-acl-abuseActive Directory ACL 滥用攻击方法论。当 BloodHound 发现 GenericAll/WriteDACL/WriteOwner/GenericWrite/ForceChangePassword 等危险 ACE 时使用。覆盖 ACE 枚举、权限滥用链、Shadow Credentials、RBCD 攻击
ad-delegation-attackKerberos 委派攻击(非约束/约束/RBCD)。当 BloodHound 发现委派配置、或已获取有 SPN 的服务账号/机器账号控制权时使用。通过 S4U 协议滥用可实现跨服务模拟任意用户,常用于域内权限提升和横向移动。
ad-domain-attackActive Directory 域环境攻击全链路。当目标主机在域环境中(systeminfo 显示 Domain 非 WORKGROUP)、发现 88/389/636 端口、或获取到域用户凭据时使用。覆盖域信息收集、用户枚举、Kerberoasting、AS-REP Roasting、委派攻击、ACL 滥用、DCSync、Golden/Silver Ticket
ad-persistenceAD 域环境持久化技术。当已获取域管/本地管理员权限、需要建立持久访问以确保重启或密码更改后仍能回到目标环境时使用。覆盖主机级持久化(计划任务/注册表Run/COM劫持/WMI事件订阅/Windows服务/启动文件夹)、域级持久化(Golden Ticket/Silver Ticket/Skeleton Key/DSRM/AdminSDHolder)、DCShadow/GoldenGMSA高级技术、清理命令与检测规避
ad-trust-attack域信任关系攻击。当目标存在多域/多林环境时使用。包含父子域提权(Golden Ticket + ExtraSid)、跨林攻击(SID History/MSSQL Trust Links)、单向信任利用。已获取子域 Domain Admin 或发现信任关系时优先加载。
adcs-certipy-attackActive Directory Certificate Services (ADCS) 证书攻击。当发现域内有 CA 服务器、ADCS Web Enrollment、证书模板配置错误时使用。覆盖 ESC1-ESC11 所有证书滥用路径、Certipy 工具链、证书伪造、NTLM 中继到 ADCS。发现 ADCS/CA/证书/certsrv 相关内容时一定要使用此技能
adinfo-enum使用 Adinfo 进行 Active Directory 信息收集。当获得域用户凭据后需要快速收集域环境信息时使用。Adinfo 是一个快速 AD 信息收集工具,一条命令输出域控列表、域管用户、信任关系、GPO、SPN、委派配置等关键信息——比手动 LDAP 查询快得多。发现域环境后第一步信息收集使用此技能
agent-security|
ai-data-security|