Android应用安全 | Android应用基础知识及代理抓包

总结：应用安全与代理抓包基础知识 作者序言 由于工作需要，我当前的项目中有一个应用需要测试。 文件缩写是什么？ Android 软件应用程序文件的标准扩展名。 只需在您的 Android 智能手机或 Android 模拟器上安装并运行它即可。

Android应用安全 | Android应用基础知识及代理抓包

作者：1e0n

0x00 简介

由于工作需要，项目中有一个APP应用需要测试。 然而，在那之前，我从未系统地详细研究过移动应用安全。 我会抱着什么都不学的心态来学习。 以下内容作为我个人的学习笔记，希望大家能够理解。 本人发表此文，希望对感兴趣的大师有所帮助。 文章中的不妥之处还请大师们批评指正，以便我们共同进步。

0x01 什么是APK文件？

APK（AndroidPackage）是Android软件应用程序文件的标准扩展名。 只需在您的 Android 智能手机或 Android 模拟器上安装并运行它即可。 APK 实际上是一个 ZIP 文件。 最简单的方法就是将文件重命名为.zip，然后使用解压工具解压查看。

1.1 APK文件的基本内容

在这里您可以下载并打开Android应用程序。

如图所示，这是一个用解压工具打开的APK文件，包含以下内容：

(1) AndroidManifest.xml

AndroidManifest 官方描述是应用程序清单。 该文件包含软件的各种配置信息。 它应该包含在每个应用程序的根目录中并且具有相同的名称。 它还包含许多应用程序组件描述、声明、您应该使用的库以及其他信息。 如果您觉得难以理解，这可以暂时理解为类似于网页源代码中的JS代码（当然这并不准确）。 官方示例文件代码为：

(2) Assets 文件夹

Assets 文件夹包含您的应用程序所需的其他文件。 这些文件最终会按原样打包到 APK 文件中，因此如果要在应用程序中使用它们，则必须指定文件路径和文件名。 其中的文件不被编译，而是直接部署，只能以流的形式读取。

（3）com文件夹

com文件夹和包文件本质上都是文件夹，其下的文件夹也是包文件，包含相应函数的类代码。到过。

（4）lib文件夹

lib 该文件夹主要存放一些系统库文件，包括.so结尾的文件。

(5)META-INF文件夹

META-INF文件夹存储程序入口的相关信息。 每个 jar 程序中都存在该文件夹。 jar打包时自动生成MANIFEST.mf文件。

（6）res文件夹

项目中的所有资源文件都存放在res文件夹中。 您的 Android 应用程序所需的资源文件将从该文件夹下的每个子文件夹中检索。 打电话。 暂时不需要过多关注具体细节。

（7）src文件夹

所有的Java源程序都存放在src文件夹中。 （有Java背景的高手可以学习）

总结：这只是一些文件或文件夹的高层描述。 还有很多内容需要系统学习，需要时间和精力。 我鼓励你现在就抓紧时间学习（笑）。

使用0x02 burpsuite像网页一样抓包。

您需要使用的第一件事是 Android 模拟器。 我们介绍的是夜神模拟器，只要能成功运行Android应用程序就可以直接使用，很方便。

您可以自行在百度上运行模拟器安装过程。 安装完成后。 默认情况下，应安装 APK 文件用于测试目的，以避免相关问题。 这里我们直接在浏览器中抓取网页。允许。 当然，APP也是如此。 稍后会专门准备一个测试APP给大家写详细的文章。

安装模拟器后，您需要配置一些位置。

第一个是burpsuite，需要按照下图进行配置。 选择自己的本地IP作为IP并自定义端口。 这里我们选择8080。 （稍后在模拟器中将需要相同的端口）

接下来，在模拟器中打开设置 - 无线和网络 - 长按更改网络 - 配置代理（本地设置）上面的 IP 和端口）- 将被保存。

其实此时就可以抓包了，但是遇到使用HTTPS协议的网站时就会弹出安全警告。

在这种情况下，您需要安装证书。 首先，关闭burp拦截并在浏览器中输入http://burp。 请按照下图进行操作。

现在你可以像在网络上一样通过抓包来测试你的APP了。

0x03 了解更多安全知识

关注官方安全号，了解更多安全知识！ ！ 关注我们的官方安全账户，了解有关安全的更多信息。 ！ ！ 关注我们的官方安全账户，了解有关安全的更多信息。 ！ ！