记一次社交app的渗透过程及工具分享

记一次社交app的渗透过程及工具分享
1。开局一张高端品质交友的邀请码讲起 解析二维码得到链接http://web.test.com/?invite_code=23K1GK 先收集子域名,顺便把app丢进模拟器和AndroidKiller(简单暴力) 收集子域名常用的工具subDomainsBrute、securitytrails.com、x.threatbook.cn 都只得到较少的域名,其中i.test.com为一个后台地址 拿到域名先对其进行简单的目录扫描(dirSearch),并未得到什么有用的东西 常规...