Android 平台JS調試技術

1.  測試技術簡介

　　Android平台微信公眾號一般以H5的形式開發，測試發現流量一般都通過js進行加密傳輸，導致無法對越權、SQL注入等風險點進行測試。針對此難點，本手冊會介紹包括Android環境下 js斷點調試、js內容修改以及配合插件進行測試的方法，以幫助獲取解密后的流量，拓寬安全測試的范圍。

 

2.  測試技術基本環境需求

 

硬件：root手機

 

軟件：burpsuite、chrome、xposed、startwebviewdebug

3.  測試技術操作指南

3.1. js斷點調試方法

通過斷點調試，可了解js使用的加解密算法、代碼邏輯等，為修改請求包、修改js代碼提供支持。具體步驟如下：

1)   安裝xposed框架、startwebviewdebug模塊。

2)   打開Xposed，勾選WebViewDebugHook模塊，並重啟手機。

 

 

 

 

 

 

 

 

 

 

3)   打開chrome調試工具，此步驟需要FQ軟件支持：

地址欄輸入：chrome://inspect/#devices，可查看頁面是否顯示設備信息，若無設備信息，請確認以下情況：移動設備開啟開發者模式、設備是否成功連接到PC。

 

 

 

 

 

 

 

 

 

 

 

3)   手機端打開H5頁面

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4)   瀏覽器打開chrome://inspect/#devices頁面鏈接，點擊inspect進行調試

　

 

 

 

 

 

 

 

 

 

 

 

 

 

 

5)   選中js文件，點擊{}按鈕，格式化js代碼。

 

 

 

 

 

 

 

6)   設置斷點，進行JS調試 

 

 

 

7)   查看及修改數據