第5天：基础入门-APP应用&微信小程序&原生态开发&H5+Vue技术&封装打包&反编译抓包点

标签：反编译 Vue 测试 微信 APP 源码 开发 https

#知识点

1、基础入门-APP应用-开发架构安全问题

2、基础入门-小程序应用-开发架构安全问题

一、APP应用开发架构：

1、原生开发

安卓一般使用java语言开发，当然现在也有kotlin语言进行开发。如何开发就涉及到具体编程了，这里就不详说了。简单描述就是使用安卓提供的一系列控件来实现页面，复杂点的页面可以通过自定义控件来实现。

①APP-原生态-IDEA

实验：remusic项目源码

NP管理器(APP)：http://normalplayer.top/ 用于对APP的apk文件进行反编译，从而获取源码；

HttpCanary(APP)：https://github.com/mingww64/HttpCanary-SSL-Magisk 用于对模拟器上的app进行抓包；

a、安装remusic、NP管理器、HttpCanary

查看源码与APP界面的对应关系

b、NP管理器进行apk的反编译，从而拿到源码

反编译查看源码，并对照查看源码是否与真实源码一致

找到对应路径：

C:\Users\XuanXuan\Desktop\remusic-master\app\src\main\java\com\wm\remusic\fragmentnet\TabNetPagerFragment.java

反编译拿到的源码与实际源码一致

c、httpcanary抓包

有API接口，源码也有，保持一致

如何进行测试：反编译&流量抓包&常规测试

安全影响：逆向的角度去分析逻辑设计安全,通过反编译获得的源码或者抓到的数据包，提取有价值的资产信息、配置信息等；从而转到对相关资产进行渗透测试；

2、使用H5&vue语言开发

使用H5开发的好处有很多，可多端复用，比如浏览器端，ios端，当然H5开发的体验是没有原生好的。结合我做过的项目来说，一般是这个页面需要分享出去的话，就用H5开发。

此类型开发的核心代码文件都在js文件里面，其代码只是用来做显示用的，数据传输全用的是数据API调用；

①APP-H5&Vue-HBuilderX

https://www.dcloud.io/

实验：HBuilderX案例省略？

a、h5语言创建项目

如何测试：API接口&JS框架安全问题&JS前端测试&抓包

3、使用flutter开发

flutter是近年来谷歌推出的一款UI框架，使用dart语言进行开发，支持跨平台，weight渲染直接操作硬件层，体验可媲美原生。但是flutter技术比较新，生态还不完善，开发起来效率相对偏低。

4、常规Web开发-Web封装

Web App软件开发简单地说，就是开发一个网站，然后加入app的壳。Web App一般非常小，内容都是app内的网页展示，受制于网页技术本身，可实现功能少，而且每次打开，几乎所有的内容都需要重新加载，所以反应速度慢，内容加载过多就容易卡死，用户体验差，而且app内的交互设计等非常有效。但开发周期长端，需要的技术人员少，成本低。

①APP-Web封装-封装平台

原理：网站->在线打包工具（多豆云）->打包成App

实验：ShopXO源码程序+多豆云打包

https://shopxo.net/电商网站

https://www.ofcms.com/在线打包工具

a、打开电商网站

b、打开在线打包工具

c、将网站封装打包成app的apk

d、模拟器安装打开

e、httpcanary抓包

如何测试：常规Web安全测试，通过抓包，对封装的网站进行测试；

二、小程序开发架构：

大家所说的小程序指微信小程序，实际上除了微信小程序外，还有支付宝、百度、头条、飞书、QQ、快手、钉钉、淘宝等个各种平台的小程序。在微信小程序开发中，开发者可以根据自身情况和项目需要，选择不同的开发方式，包括：原生开发、WebView开发、框架开发和低代码开发等。

参考：https://mp.weixin.qq.com/s/dXTb0wk57-bLA3tUuvOFSw

1、WX小程序-开发架构-Web封装-平台

实验：ShopXO源码程序+多豆云打包

https://shopxo.net/

https://www.ofcms.com/

如何测试：常规Web安全测试，抓包后，对网站进行测试；

2、WX小程序-H5&Vue-HBuilderX

实验：HBuilderX案例

https://www.dcloud.io/

https://mp.weixin.qq.com/s/SIWBZv_vZ6AGtHrl3hpR9A

如何测试：API&JS框架安全问题&前端测试&抓包，反编译小程序-提取小程序源码泄漏的信息

三·、APP、小程序通用测试思路：

1、反编译-源码-提取资产（泄漏的配置信息）-安全测试

2、抓包-资产-安全测试

标签：反编译,Vue,测试,微信,APP,源码,开发,https
From： https://blog.csdn.net/wusaicyq/article/details/144009029