摘要:应用安全应用基础知识和代理抓包作者前言由于工作需要,手里的项目有个应用需要测试。什么是文件是的缩写,也就是我们安卓软件应用文件标准扩展名,我们只需要在安卓手机或者安卓模拟器中安装运行即可。
作者:1e0n
由于工作需要,手里的项目有个APP应用需要测试。但在此之前,我又没有系统深入的去学习过移动应用安全。本着哪里不会学哪里的精神,我准备大致的学习一下。以下内容可以理解为是我个人的学习笔记,发布出来是希望能够对感兴趣的师傅有所帮助。还望各位师傅对文中不严谨的地方批评指正,共同进步。
APK是(AndroidPackage)的缩写,也就是我们安卓软件应用文件标准扩展名,我们只需要在安卓手机或者安卓模拟器中安装运行即可。APK实际上也是一个ZIP的文件,最简单的方式可以将文件重命名为.zip,然后用解压工具解压查看。
这里我们去随便下载一个安卓应用程序打开看看。
如图,这就是一个用解压工具打开的APK文件,它其中包含了以下内容;
(1)AndroidManifest.xml
AndroidManifest的官方解释是应用清单,文件中包括软件的各种配置信息,在每个应用的根目录下必须包含它,并且名字得一模一样。其中还有很多的应用组件描述、声明、需要用到的库等等信息。如果觉得很难理解的话,可以暂时将它理解为类似网页源代码中包含的JS代码(当然并不准确)。
官方示例文件代码如下:
(2)assets文件夹
assets文件夹下包括应用程序可能需要的任何其他文件。这些文件最后会被原封不动的打包在APK文件中,应用程序想要去使用它就必须要指定文件路径和文件名。其中的文件并不会被编译,而是会直接部署,并且只能通过流的形式读取;
(3)com文件夹
com文件夹也是一个包文件,其实质上是一个文件夹,在它之下的文件夹也是包文件,存放对应功能的类代码;
(4)lib文件夹
lib文件夹下主要存放的是一些系统的库文件,如.so结尾的文件。
(5)META-INF文件夹
META-INF文件夹下存放着程序入口的相关信息,每个jar程序都会存在这个文件夹。其中的MANIFEST.mf文件,是jar打包时自动生成的。
(6)res文件夹
res文件夹下存放着项目中所有的资源文件,安卓应用需要的资源文件都会从这个文件夹下的各个子文件夹中去调用。具体的一些细节暂时不用太过关注。
(7)src文件夹
src文件夹下存放着所有的java源程序。(有java基础的师傅可以研究下)
小结:这只是其中一部分文件或文件夹的粗略解释,还有很多内容要系统的学起来比较耗时耗力,建议遇到的时候,现学,哈哈。
首先需要用到的是一个安卓模拟器,只要能够成功运行安卓应用即可,我这里图方便直接用的夜神模拟器。
模拟器的安装过程可以自行百度,安装完成后。本来是应该安装一个APK文件来进行测试的,为避免相关问题。这里直接抓取浏览器的网页内容。当然,APP同理,之后会专门准备一个测试用的APP来专门写一篇详细的文章。
安装好模拟器后,需要对几个地方进行设置。
首先是burpsuite,需要按照下图设置,IP选择自己本机IP,端口自定义,我这里选择的是8080。(等会模拟器中也要相同端口)
然后是模拟器,打开设置-无线和网络-长按修改网络-设置代理(设置为本机IP和上面的端口)-保存。
事实上这个时候已经可以抓到包了,但是遇到HTTPS协议的网站会弹出安全警告。
这种情况需要安装证书,先关闭burp的拦截,在浏览器输入http://burp。按照下图操作。
接下来就可以像WEB一样去抓包测试APP了。
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/118892.html
摘要:三性能测试工具官网介绍腾讯开源的的随身调测平台,支持和。官网介绍腾讯游戏部门开发的移动全平台性能测试分析工具平台。百度的服务目前主要为收费服务。 随着移动互联网的高速发展,App 应用非常火,测试工程师也会接触到各种 app 应用。除了人工测试之外,也可以通过一些测试工具来提高我们的测试效率...
摘要:工具和资料群高级爬虫作者自建群,欢迎加入作者收集的爬虫相关工具和资料抓包流程为了实现对安卓手机或模拟器的网络请求抓包,简单流程为电脑上安装等抓包工具,其原理就是一个代理服务器。 showImg(https://segmentfault.com/img/remote/1460000018765904); 工具和资料 QQ群 - Javascript高级爬虫 - 作者自建群,欢迎加入!...
摘要:注意阅读本文需要一台已经的安卓手机说明系统手机小米已抓包工具微信版本现象安卓手机无法通过代理抓包请求,我前天年月日用的不知道为什么能抓到,昨天手残更新到就不行了。 注意:阅读本文需要一台已经root的安卓手机! 说明 系统:MacOS 10.13.6 手机:小米6(已root) 抓包工具:Charles 微信版本:7.0.4 现象 安卓手机无法通过Charles代理抓包https请求,...
摘要:下面截图里的流量是我监听的知乎点赞之后发送的一个请求。我之前先分析过的地址了,命令是图中列出了个前面的,是我的地址,是知乎的地址,红色方框内是发出的,白色方框内是发出的。 现在的移动端应用几乎都会通过网络请求来和服务器交互,通过抓包来诊断和网络相关的bug是程序员的重要技能之一。抓包的手段有很多:针对http和https可以使用Charles设置代理来做,对于更广泛的协议可以使用tcp...
摘要:下面截图里的流量是我监听的知乎点赞之后发送的一个请求。我之前先分析过的地址了,命令是图中列出了个前面的,是我的地址,是知乎的地址,红色方框内是发出的,白色方框内是发出的。 现在的移动端应用几乎都会通过网络请求来和服务器交互,通过抓包来诊断和网络相关的bug是程序员的重要技能之一。抓包的手段有很多:针对http和https可以使用Charles设置代理来做,对于更广泛的协议可以使用tcp...
阅读 539·2023-04-25 15:42
阅读 3419·2021-11-02 14:38
阅读 530·2021-10-14 09:42
阅读 2679·2021-09-30 09:48
阅读 1189·2021-09-23 11:22
阅读 3233·2021-09-06 15:02
阅读 3080·2021-09-04 16:41
阅读 453·2021-09-02 15:41
