关注分享主机优惠活动
国内外VPS云服务器

Android应用安全 | Android应用基础知识及代理抓包

总结:应用安全与代理抓包基础知识 作者序言 由于工作需要,我当前的项目中有一个应用需要测试。 文件缩写是什么? Android 软件应用程序文件的标准扩展名。 只需在您的 Android 智能手机或 Android 模拟器上安装并运行它即可。

Android应用安全 | Android应用基础知识及代理抓包

作者:1e0n

0x00 简介

由于工作需要,项目中有一个APP应用需要测试。 然而,在那之前,我从未系统地详细研究过移动应用安全。 我会抱着什么都不学的心态来学习。 以下内容作为我个人的学习笔记,希望大家能够理解。 本人发表此文,希望对感兴趣的大师有所帮助。 文章中的不妥之处还请大师们批评指正,以便我们共同进步。

0x01 什么是APK文件?

APK(AndroidPackage)是Android软件应用程序文件的标准扩展名。 只需在您的 Android 智能手机或 Android 模拟器上安装并运行它即可。 APK 实际上是一个 ZIP 文件。 最简单的方法就是将文件重命名为.zip,然后使用解压工具解压查看。

1.1 APK文件的基本内容

在这里您可以下载并打开Android应用程序。

如图所示,这是一个用解压工具打开的APK文件,包含以下内容:

(1) AndroidManifest.xml

AndroidManifest 官方描述是应用程序清单。 该文件包含软件的各种配置信息。 它应该包含在每个应用程序的根目录中并且具有相同的名称。 它还包含许多应用程序组件描述、声明、您应该使用的库以及其他信息。 如果您觉得难以理解,这可以暂时理解为类似于网页源代码中的JS代码(当然这并不准确)。 官方示例文件代码为:

(2) Assets 文件夹

Assets 文件夹包含您的应用程序所需的其他文件。 这些文件最终会按原样打包到 APK 文件中,因此如果要在应用程序中使用它们,则必须指定文件路径和文件名。 其中的文件不被编译,而是直接部署,只能以流的形式读取。

(3)com文件夹

com文件夹和包文件本质上都是文件夹,其下的文件夹也是包文件,包含相应函数的类代码。到过。

(4)lib文件夹

lib 该文件夹主要存放一些系统库文件,包括.so结尾的文件。

(5)META-INF文件夹

META-INF文件夹存储程序入口的相关信息。 每个 jar 程序中都存在该文件夹。 jar打包时自动生成MANIFEST.mf文件。

(6)res文件夹

项目中的所有资源文件都存放在res文件夹中。 您的 Android 应用程序所需的资源文件将从该文件夹下的每个子文件夹中检索。 打电话。 暂时不需要过多关注具体细节。

(7)src文件夹

所有的Java源程序都存放在src文件夹中。 (有Java背景的高手可以学习)

总结:这只是一些文件或文件夹的高层描述。 还有很多内容需要系统学习,需要时间和精力。 我鼓励你现在就抓紧时间学习(笑)。

使用0x02 burpsuite像网页一样抓包。

您需要使用的第一件事是 Android 模拟器。 我们介绍的是夜神模拟器,只要能成功运行Android应用程序就可以直接使用,很方便。

您可以自行在百度上运行模拟器安装过程。 安装完成后。 默认情况下,应安装 APK 文件用于测试目的,以避免相关问题。 这里我们直接在浏览器中抓取网页。允许。 当然,APP也是如此。 稍后会专门准备一个测试APP给大家写详细的文章。

安装模拟器后,您需要配置一些位置。

第一个是burpsuite,需要按照下图进行配置。 选择自己的本地IP作为IP并自定义端口。 这里我们选择8080。 (稍后在模拟器中将需要相同的端口)

接下来,在模拟器中打开设置 - 无线和网络 - 长按更改网络 - 配置代理(本地设置)上面的 IP 和端口)- 将被保存。

其实此时就可以抓包了,但是遇到使用HTTPS协议的网站时就会弹出安全警告。

在这种情况下,您需要安装证书。 首先,关闭burp拦截并在浏览器中输入http://burp。 请按照下图进行操作。

现在你可以像在网络上一样通过抓包来测试你的APP了。

0x03 了解更多安全知识

关注官方安全号,了解更多安全知识! ! 关注我们的官方安全账户,了解有关安全的更多信息。 ! ! 关注我们的官方安全账户,了解有关安全的更多信息。 ! !

未经允许不得转载:主机频道 » Android应用安全 | Android应用基础知识及代理抓包

评论 抢沙发

评论前必须登录!