本文介绍了安卓APP渗透测试的基本思路,包括理解APK的性质,利用安卓模拟器或手机进行测试,通过反编译APK或抓包来分析APP与WEB的交互。详细讲解了如何设置代理、安装证书以捕获HTTP/HTTPS流量,以及使用Wireshark抓取其他协议的数据包,为后续的协议分析和测试铺平道路。
前言
目前移动端的操作系统是Android与IOS。因为苹果不是开源的,操作系统比较封闭。所以我们在对它进行反编译什么的会比较困难。大多数都是在安卓上面进行,对APK进行反编译。
什么是APK?
APK(Android application package,Android应用程序包)是安卓操作系统使用的一种应用程序包文件格式,用于分发和安装移动应用及中间件。
安卓APP测试
我们一般使用安卓模拟器或者安卓手机对APP进行测试,通过反编译APK文件或对APP进行抓包获取URL。
如果网站是使用HTTP/HTTPS协议的话,这时抓包的内容和对浏览器抓包的内容没区别。我们就可以对APP进行WEB应用测试。但是有部分APP使用的是其他协议,这时就需要使用网络接口抓包(什么协议都抓)进行获取。再对抓取的协议进行分析。
1.APP到WEB
一般使用Burpsuite,Fiddler,抓包精灵等对其进行抓取。
首先对模拟器进行设置,打开WLAN。
长按左键,修改网络
设置手动代理,
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
