知识点:
1、基础入门-APP应用-开发架构安全问题
2、基础入门-小程序应用-开发架构安全问题
APP应用开发架构:
1、原生开发
安卓一般使用java语言开发,当然现在也有kotlin语言进行开发。如何开发就涉及到具体编程了,这里就不详说了。简单描述就是使用安卓提供的一系列控件来实现页面,复杂点的页面可以通过自定义控件来实现。
2、使用H5语言开发
使用H5开发的好处有很多,可多端复用,比如浏览器端,ios端,当然H5开发的体验是没有原生好的。结合我做过的项目来说,一般是这个页面需要分享出去的话,就用H5开发。
3、使用flutter开发
flutter是近年来谷歌推出的一款UI框架,使用dart语言进行开发,支持跨平台,weight渲染直接操作硬件层,体验可媲美原生。但是flutter技术比较新,生态还不完善,开发起来效率相对偏低。
4、常规Web开发
Web App软件开发简单地说,就是开发一个网站,然后加入app的壳。Web App一般非常小,内容都是app内的网页展示,受制于网页技术本身,可实现功能少,而且每次打开,几乎所有的内容都需要重新加载,所以反应速度慢,内容加载过多就容易卡死,用户体验差,而且app内的交互设计等非常有效。但开发周期长端,需要的技术人员少,成本低。
APP-开发架构-原生态-IDEA
演示:remusic项目源码
NP管理器:(在模拟器中运行)
下载地址:NP管理器 - 功能丰富的Android文件管理APP
反编译拿到源代码,分析代码
- 打开NP,点击安装包提取
- 选择remusic,提取安装包
- 点击查看
- 选择这个文件,点击选择Dex编辑Plus
- 1
- 2
- 3
- 4
- 反编译出来的代码与源代码存在差异的原因主要与以下几点有关
注:反编译时注释掉的代码不表现,只表现有效代码
HttpCanary:
下载地址:GitHub - mingww64/HttpCanary-SSL-Magisk: HttpCanary with SSL support
- 将remusic设置为目标应用
- 点击开始抓包
- 抓取到数据包
- 1
- 2
- 与源码一起分析
安全影响:反编译&流量抓包&常规测试
能找到源码找源码,找不到源码抓包
安全影响:逆向的角度去分析逻辑设计安全
APP-开发架构--Web封装-封装平台
演示:ShopXO源码程序+多豆云打包
- 将ShopXO网站打包为APP(web套壳app)
- 1
- 2、打开需要打包的网页
- 使用多豆云在线打包在线APP打包
- 1、
- 2、
- 3、安装成功
- 使用多豆云在线打包在线APP打包
- HttpCanary抓包
安全影响:常Web安全测试
APP-开发架构-H5&Vue-HBuilderX
DCloud - 数字天堂官网、HBuilderX、HBuilder、uni-app、uniapp、5+、5plus、mui、wap2app、流应用、HTML5、小程序开发、跨平台App、多端框架
演示:HBuilderX案例
- 5+APP:5是指html5
- 1、
- 2、发行
遇到的问题:1、安装插件APP云打包,安装的太慢了
2、需要绑定手机完成认证- 1、
- 2、需要登录
- 3、填写信息
- 4、
- 3、打包完成
- 1、
- 2、
- 打包为APK在模拟器中安装
- 反编译查看源码
- 我没有找到对应的包,我猜测是使用这个Hbuilder进行打包,内部的一些代码在上面不会显示,所以找不到
安全影响:API&JS框架安全问题&JS前端测试
小程序开发架构
大家所说的小程序指微信小程序,实际上除了微信小程序外,还有支付宝、百度、头条、飞书、QQ、快手、钉钉、淘宝等个各种平台的小程序。在微信小程序开发中,开发者可以根据自身情况和项目需要,选择不同的开发方式,包括:原生开发、WebView开发、框架开发和低代码开发等。
WX小程序-开发架构-Web封装-平台
演示:ShopXO源码程序+多豆云打包
- 将web封装为小程序
- 无开发权限无法封装,无法复现
安全影响:常规Web安全测试
WX小程序-开发架构-H5&Vue-HBuilderX
演示:HBuilderX案例
- 1
- 2、需要开发者ID,选择测试即可
- 3、微信开发者工具导入封装好的小程序项目文件
- 4、进行调试---重点
DCloud - 数字天堂官网、HBuilderX、HBuilder、uni-app、uniapp、5+、5plus、mui、wap2app、流应用、HTML5、小程序开发、跨平台App、多端框架
安全影响:API&JS框架安全问题&前端测试
安全影响:反编译小程序-提取小程序源码泄漏的信息
通用思路
1、反编译-源码-提取资产(泄漏的配置信息)-安全测试
2、抓包-资产-安全测试