資訊專欄INFORMATION COLUMN
摘要:應(yīng)用安全應(yīng)用基礎(chǔ)知識和代理抓包作者前言由于工作需要,手里的項目有個應(yīng)用需要測試。什么是文件是的縮寫,也就是我們安卓軟件應(yīng)用文件標(biāo)準(zhǔn)擴(kuò)展名,我們只需要在安卓手機(jī)或者安卓模擬器中安裝運(yùn)行即可。
作者:1e0n
由于工作需要,手里的項目有個APP應(yīng)用需要測試。但在此之前,我又沒有系統(tǒng)深入的去學(xué)習(xí)過移動應(yīng)用安全。本著哪里不會學(xué)哪里的精神,我準(zhǔn)備大致的學(xué)習(xí)一下。以下內(nèi)容可以理解為是我個人的學(xué)習(xí)筆記,發(fā)布出來是希望能夠?qū)Ω信d趣的師傅有所幫助。還望各位師傅對文中不嚴(yán)謹(jǐn)?shù)牡胤脚u指正,共同進(jìn)步。
APK是(AndroidPackage)的縮寫,也就是我們安卓軟件應(yīng)用文件標(biāo)準(zhǔn)擴(kuò)展名,我們只需要在安卓手機(jī)或者安卓模擬器中安裝運(yùn)行即可。APK實(shí)際上也是一個ZIP的文件,最簡單的方式可以將文件重命名為.zip,然后用解壓工具解壓查看。
這里我們?nèi)ルS便下載一個安卓應(yīng)用程序打開看看。
如圖,這就是一個用解壓工具打開的APK文件,它其中包含了以下內(nèi)容;
(1)AndroidManifest.xml
AndroidManifest的官方解釋是應(yīng)用清單,文件中包括軟件的各種配置信息,在每個應(yīng)用的根目錄下必須包含它,并且名字得一模一樣。其中還有很多的應(yīng)用組件描述、聲明、需要用到的庫等等信息。如果覺得很難理解的話,可以暫時將它理解為類似網(wǎng)頁源代碼中包含的JS代碼(當(dāng)然并不準(zhǔn)確)。
官方示例文件代碼如下:
(2)assets文件夾
assets文件夾下包括應(yīng)用程序可能需要的任何其他文件。這些文件最后會被原封不動的打包在APK文件中,應(yīng)用程序想要去使用它就必須要指定文件路徑和文件名。其中的文件并不會被編譯,而是會直接部署,并且只能通過流的形式讀取;
(3)com文件夾
com文件夾也是一個包文件,其實(shí)質(zhì)上是一個文件夾,在它之下的文件夾也是包文件,存放對應(yīng)功能的類代碼;
(4)lib文件夾
lib文件夾下主要存放的是一些系統(tǒng)的庫文件,如.so結(jié)尾的文件。
(5)META-INF文件夾
META-INF文件夾下存放著程序入口的相關(guān)信息,每個jar程序都會存在這個文件夾。其中的MANIFEST.mf文件,是jar打包時自動生成的。
(6)res文件夾
res文件夾下存放著項目中所有的資源文件,安卓應(yīng)用需要的資源文件都會從這個文件夾下的各個子文件夾中去調(diào)用。具體的一些細(xì)節(jié)暫時不用太過關(guān)注。
(7)src文件夾
src文件夾下存放著所有的java源程序。(有java基礎(chǔ)的師傅可以研究下)
小結(jié):這只是其中一部分文件或文件夾的粗略解釋,還有很多內(nèi)容要系統(tǒng)的學(xué)起來比較耗時耗力,建議遇到的時候,現(xiàn)學(xué),哈哈。
首先需要用到的是一個安卓模擬器,只要能夠成功運(yùn)行安卓應(yīng)用即可,我這里圖方便直接用的夜神模擬器。
模擬器的安裝過程可以自行百度,安裝完成后。本來是應(yīng)該安裝一個APK文件來進(jìn)行測試的,為避免相關(guān)問題。這里直接抓取瀏覽器的網(wǎng)頁內(nèi)容。當(dāng)然,APP同理,之后會專門準(zhǔn)備一個測試用的APP來專門寫一篇詳細(xì)的文章。
安裝好模擬器后,需要對幾個地方進(jìn)行設(shè)置。
首先是burpsuite,需要按照下圖設(shè)置,IP選擇自己本機(jī)IP,端口自定義,我這里選擇的是8080。(等會模擬器中也要相同端口)
然后是模擬器,打開設(shè)置-無線和網(wǎng)絡(luò)-長按修改網(wǎng)絡(luò)-設(shè)置代理(設(shè)置為本機(jī)IP和上面的端口)-保存。
事實(shí)上這個時候已經(jīng)可以抓到包了,但是遇到HTTPS協(xié)議的網(wǎng)站會彈出安全警告。
這種情況需要安裝證書,先關(guān)閉burp的攔截,在瀏覽器輸入http://burp。按照下圖操作。
接下來就可以像WEB一樣去抓包測試APP了。
歡迎關(guān)注我們的安全公眾號,學(xué)習(xí)更多安全知識!!!
歡迎關(guān)注我們的安全公眾號,學(xué)習(xí)更多安全知識!!!
歡迎關(guān)注我們的安全公眾號,學(xué)習(xí)更多安全知識!!!
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/118892.html
摘要:三性能測試工具官網(wǎng)介紹騰訊開源的的隨身調(diào)測平臺,支持和。官網(wǎng)介紹騰訊游戲部門開發(fā)的移動全平臺性能測試分析工具平臺。百度的服務(wù)目前主要為收費(fèi)服務(wù)。 隨著移動互聯(lián)網(wǎng)的高速發(fā)展,App 應(yīng)用非常火,測試工程師也會接觸到各種 app 應(yīng)用。除了人工測試之外,也可以通過一些測試工具來提高我們的測試效率...
閱讀 1010·2023-04-25 15:42
閱讀 3604·2021-11-02 14:38
閱讀 2899·2021-09-30 09:48
閱讀 1439·2021-09-23 11:22
閱讀 3400·2021-09-06 15:02
閱讀 3196·2021-09-04 16:41
閱讀 615·2021-09-02 15:41
閱讀 2025·2021-08-26 14:13
