成人国产在线小视频_日韩寡妇人妻调教在线播放_色成人www永久在线观看_2018国产精品久久_亚洲欧美高清在线30p_亚洲少妇综合一区_黄色在线播放国产_亚洲另类技巧小说校园_国产主播xx日韩_a级毛片在线免费

資訊專欄INFORMATION COLUMN

Android應用安全 | Android應用基礎(chǔ)知識和代理抓包

source / 631人閱讀

摘要:應用安全應用基礎(chǔ)知識和代理抓包作者前言由于工作需要,手里的項目有個應用需要測試。什么是文件是的縮寫,也就是我們安卓軟件應用文件標準擴展名,我們只需要在安卓手機或者安卓模擬器中安裝運行即可。

Android應用安全 | Android應用基礎(chǔ)知識和代理抓包

作者:1e0n

0x00 前言

由于工作需要,手里的項目有個APP應用需要測試。但在此之前,我又沒有系統(tǒng)深入的去學習過移動應用安全。本著哪里不會學哪里的精神,我準備大致的學習一下。以下內(nèi)容可以理解為是我個人的學習筆記,發(fā)布出來是希望能夠?qū)Ω信d趣的師傅有所幫助。還望各位師傅對文中不嚴謹?shù)牡胤脚u指正,共同進步。

0x01 什么是APK文件?

APK是(AndroidPackage)的縮寫,也就是我們安卓軟件應用文件標準擴展名,我們只需要在安卓手機或者安卓模擬器中安裝運行即可。APK實際上也是一個ZIP的文件,最簡單的方式可以將文件重命名為.zip,然后用解壓工具解壓查看。

1.1 APK文件的基本內(nèi)容

這里我們?nèi)ルS便下載一個安卓應用程序打開看看。

如圖,這就是一個用解壓工具打開的APK文件,它其中包含了以下內(nèi)容;

(1)AndroidManifest.xml

AndroidManifest的官方解釋是應用清單,文件中包括軟件的各種配置信息,在每個應用的根目錄下必須包含它,并且名字得一模一樣。其中還有很多的應用組件描述、聲明、需要用到的庫等等信息。如果覺得很難理解的話,可以暫時將它理解為類似網(wǎng)頁源代碼中包含的JS代碼(當然并不準確)。
官方示例文件代碼如下:

(2)assets文件夾

assets文件夾下包括應用程序可能需要的任何其他文件。這些文件最后會被原封不動的打包在APK文件中,應用程序想要去使用它就必須要指定文件路徑和文件名。其中的文件并不會被編譯,而是會直接部署,并且只能通過流的形式讀??;

(3)com文件夾

com文件夾也是一個包文件,其實質(zhì)上是一個文件夾,在它之下的文件夾也是包文件,存放對應功能的類代碼;

(4)lib文件夾

lib文件夾下主要存放的是一些系統(tǒng)的庫文件,如.so結(jié)尾的文件。

(5)META-INF文件夾

META-INF文件夾下存放著程序入口的相關(guān)信息,每個jar程序都會存在這個文件夾。其中的MANIFEST.mf文件,是jar打包時自動生成的。

(6)res文件夾

res文件夾下存放著項目中所有的資源文件,安卓應用需要的資源文件都會從這個文件夾下的各個子文件夾中去調(diào)用。具體的一些細節(jié)暫時不用太過關(guān)注。

(7)src文件夾

src文件夾下存放著所有的java源程序。(有java基礎(chǔ)的師傅可以研究下)

小結(jié):這只是其中一部分文件或文件夾的粗略解釋,還有很多內(nèi)容要系統(tǒng)的學起來比較耗時耗力,建議遇到的時候,現(xiàn)學,哈哈。

0x02 像網(wǎng)頁一樣使用burpsuite抓包

首先需要用到的是一個安卓模擬器,只要能夠成功運行安卓應用即可,我這里圖方便直接用的夜神模擬器。

模擬器的安裝過程可以自行百度,安裝完成后。本來是應該安裝一個APK文件來進行測試的,為避免相關(guān)問題。這里直接抓取瀏覽器的網(wǎng)頁內(nèi)容。當然,APP同理,之后會專門準備一個測試用的APP來專門寫一篇詳細的文章。

安裝好模擬器后,需要對幾個地方進行設(shè)置。

首先是burpsuite,需要按照下圖設(shè)置,IP選擇自己本機IP,端口自定義,我這里選擇的是8080。(等會模擬器中也要相同端口)

然后是模擬器,打開設(shè)置-無線和網(wǎng)絡(luò)-長按修改網(wǎng)絡(luò)-設(shè)置代理(設(shè)置為本機IP和上面的端口)-保存。

事實上這個時候已經(jīng)可以抓到包了,但是遇到HTTPS協(xié)議的網(wǎng)站會彈出安全警告。

這種情況需要安裝證書,先關(guān)閉burp的攔截,在瀏覽器輸入http://burp。按照下圖操作。

接下來就可以像WEB一樣去抓包測試APP了。

0x03 了解更多安全知識

歡迎關(guān)注我們的安全公眾號,學習更多安全知識?。?!
歡迎關(guān)注我們的安全公眾號,學習更多安全知識!??!
歡迎關(guān)注我們的安全公眾號,學習更多安全知識?。。?/strong>

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/118892.html

相關(guān)文章

  • 超全的App 測試工具大全,收藏這篇就夠了【附帶官網(wǎng)|GitHub地址】

    摘要:三性能測試工具官網(wǎng)介紹騰訊開源的的隨身調(diào)測平臺,支持和。官網(wǎng)介紹騰訊游戲部門開發(fā)的移動全平臺性能測試分析工具平臺。百度的服務目前主要為收費服務。 隨著移動互聯(lián)網(wǎng)的高速發(fā)展,App 應用非?;?,測試工程師也會接觸到各種 app 應用。除了人工測試之外,也可以通過一些測試工具來提高我們的測試效率...

    MRZYD 評論0 收藏0

發(fā)表評論

0條評論

閱讀需要支付1元查看
<