Android 平台JS调试技术

1.  测试技术简介

　　Android平台微信公众号一般以H5的形式开发，测试发现流量一般都通过js进行加密传输，导致无法对越权、SQL注入等风险点进行测试。针对此难点，本手册会介绍包括Android环境下 js断点调试、js内容修改以及配合插件进行测试的方法，以帮助获取解密后的流量，拓宽安全测试的范围。

 

2.  测试技术基本环境需求

 

硬件：root手机

 

软件：burpsuite、chrome、xposed、startwebviewdebug

3.  测试技术操作指南

3.1. js断点调试方法

通过断点调试，可了解js使用的加解密算法、代码逻辑等，为修改请求包、修改js代码提供支持。具体步骤如下：

1)   安装xposed框架、startwebviewdebug模块。

2)   打开Xposed，勾选WebViewDebugHook模块，并重启手机。

 

 

 

 

 

 

 

 

 

 

3)   打开chrome调试工具，此步骤需要FQ软件支持：

地址栏输入：chrome://inspect/#devices，可查看页面是否显示设备信息，若无设备信息，请确认以下情况：移动设备开启开发者模式、设备是否成功连接到PC。

 

 

 

 

 

 

 

 

 

 

 

3)   手机端打开H5页面

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4)   浏览器打开chrome://inspect/#devices页面链接，点击inspect进行调试

　

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5)   选中js文件，点击{}按钮，格式化js代码。

 

 

 

 

 

 

 

6)   设置断点，进行JS调试 

 

 

 

7)   查看及修改数据