APP应用开发架构：

1、原生开发

安卓一般使用java语言开发，当然现在也有kotlin语言进行开发。如何开发就涉及到具体编程了，这里就不详说了。简单描述就是使用安卓提供的一系列控件来实现页面，复杂点的页面可以通过自定义控件来实现。

2、使用H5语言开发

使用H5开发的好处有很多，可多端复用，比如浏览器端，ios端，当然H5开发的体验是没有原生好的。结合我做过的项目来说，一般是这个页面需要分享出去的话，就用H5开发。

3、使用flutter开发

flutter是近年来谷歌推出的一款UI框架，使用dart语言进行开发，支持跨平台，weight渲染直接操作硬件层，体验可媲美原生。但是flutter技术比较新，生态还不完善，开发起来效率相对偏低。

4、常规Web开发

Web App软件开发简单地说，就是开发一个网站，然后加入app的壳。Web App一般非常小，内容都是app内的网页展示，受制于网页技术本身，可实现功能少，而且每次打开，几乎所有的内容都需要重新加载，所以反应速度慢，内容加载过多就容易卡死，用户体验差，而且app内的交互设计等非常有效。但开发周期长端，需要的技术人员少，成本低。

APP-开发架构-原生态-IDEA

演示：remusic项目源码

NP管理器：（在模拟器中运行）

下载地址：NP管理器 - 功能丰富的Android文件管理APP

反编译拿到源代码，分析代码

• 打开NP，点击安装包提取

  

• 选择remusic，提取安装包

  

• 点击查看

  

• 选择这个文件，点击选择Dex编辑Plus

  

  

• 1

  

• 2

  

• 3

  

• 4

  

  • 反编译出来的代码与源代码存在差异的原因主要与以下几点有关

    

注：反编译时注释掉的代码不表现，只表现有效代码

HttpCanary：

下载地址：GitHub - mingww64/HttpCanary-SSL-Magisk: HttpCanary with SSL support

• 将remusic设置为目标应用

  

• 点击开始抓包

  

• 抓取到数据包
  • 1

    

  • 2

    

• 与源码一起分析

  

安全影响：反编译&流量抓包&常规测试

能找到源码找源码，找不到源码抓包

安全影响：逆向的角度去分析逻辑设计安全

APP-开发架构--Web封装-封装平台

演示：ShopXO源码程序+多豆云打包

ShopXO - 企业级B2C免费开源电商系统

在线APP打包

• 将ShopXO网站打包为APP（web套壳app）
  • 1

    

  • 2、打开需要打包的网页

    

    • 使用多豆云在线打包在线APP打包
      • 1、

        

      • 2、

        

      • 3、安装成功

        

        

  • HttpCanary抓包

    

安全影响：常Web安全测试

APP-开发架构-H5&Vue-HBuilderX

DCloud - 数字天堂官网、HBuilderX、HBuilder、uni-app、uniapp、5+、5plus、mui、wap2app、流应用、HTML5、小程序开发、跨平台App、多端框架

演示：HBuilderX案例

• 5+APP：5是指html5

  

  • 1、

    

  • 2、发行
    遇到的问题：1、安装插件APP云打包，安装的太慢了
    2、需要绑定手机完成认证
    • 1、

      

    • 2、需要登录
    • 3、填写信息

      

    • 4、

      

  • 3、打包完成
    • 1、

      

    • 2、

      

• 打包为APK在模拟器中安装

  • 

• 反编译查看源码
  • 我没有找到对应的包，我猜测是使用这个Hbuilder进行打包，内部的一些代码在上面不会显示，所以找不到

    

安全影响：API&JS框架安全问题&JS前端测试

小程序开发架构

大家所说的小程序指小程序>微信小程序，实际上除了小程序>微信小程序外，还有支付宝、百度、头条、飞书、QQ、快手、钉钉、淘宝等个各种平台的小程序。在小程序>微信小程序开发中，开发者可以根据自身情况和项目需要，选择不同的开发方式，包括：原生开发、WebView开发、框架开发和低代码开发等。

参考：一文搞定小程序开发4个模式，9个框架

WX小程序-开发架构-Web封装-平台

演示：ShopXO源码程序+多豆云打包

ShopXO - 企业级B2C免费开源电商系统

在线APP打包

• 将web封装为小程序
• 无开发权限无法封装，无法复现

  

安全影响：常规Web安全测试

WX小程序-开发架构-H5&Vue-HBuilderX

演示：HBuilderX案例

• 1

  

• 2、需要开发者ID，选择测试即可

  

• 3、微信开发者工具导入封装好的小程序项目文件

  

• 4、进行调试---重点

  

DCloud - 数字天堂官网、HBuilderX、HBuilder、uni-app、uniapp、5+、5plus、mui、wap2app、流应用、HTML5、小程序开发、跨平台App、多端框架

Github上收集了70个小程序>微信小程序源码

安全影响：API&JS框架安全问题&前端测试

安全影响：反编译小程序-提取小程序源码泄漏的信息

​​​​​​​

通用思路

1、反编译-源码-提取资产（泄漏的配置信息）-安全测试

2、抓包-资产-安全测试