如何抓取微信小程序的数据?
2017年1月份备受关注的微信小程序功能正式上线了,好多知名平台纷纷推出了自己的微信小程序,例如大众点评、美团外卖、京东购物。对于我们爬虫开发者来说这绝对是好事情,意味着又多了一个数据来源,又多了一种选择。
用过微信小程序的人都知道无论是从界面上看还是从功能上看都和普通的手机App并没有什么差别。那么客户端与服务端数据交互的方式是否也一样呢?从微信小程序开发文档上了解到,产品模式下微信小程序强制要求客户端和服务端通过HTTPS协议进行交互(传统的手机App并没有这种限制),而不允许不安全的HTTP。这就意味着如果直接抓包(例如,使用Wireshark),我们看到的也是一堆乱码(HTTPS数据是加密传输的),无法了解交互的接口和过程。然而这一点并不难突破。
之前曾介绍过Web协议调试神器Fiddler,它最强大的地方就是能够抓取并明文展示HTTPS报文。它抓取HTTPS的原理是这样的,首先Fiddler是以HTTPS代理模式工作的,当Fiddler接收到客户端(浏览器)CONNECT请求时,它冒充服务端(网站)接受客户端的请求,并回送客户端一个伪造的证书,并冒充客户端(浏览器)和真实的服务端(网站)建立连接,之后它就充当一个中间人的角色,向服务端(网站)转发客户端(浏览器)的请求数据,向客户端(浏览器)转发服务端(网站) 的应答数据。对于这个中间人来说两边的请都是和其直接建立的,所以两边发送的数据它都能解密成明文。
下面以“京东购物”微信小程序为例,介绍如何分析、抓取一个微信小程序的数据:
1)安装Fiddler4,启用HTTPS抓取。并允许远程连接。
2)手机Wifi确保和安装Fiddler的机器在一个局域网内。并在手机Wifi里设置好Fiddler代理。
3)在微信中搜索“京东购物”,进入该小程序。
4)操作小程序,不出意外的话,就能看到Fiddler抓到的数据包。如下图所示。
5)有过手机App抓包经验的开发者会发现这个微信小程序的抓包分析过程其实和手机App的抓包分析过程完全一样。技术人员分析了几个微信小程序,发现目前微信小程序的数据基本上都没有做什么有效的防护策略(例如 签名机制),意味着一旦我们分析到数据接口(URL和参数)就可以轻易拿到我们想要的数据。例如京东购物的商品详情接口,我们只需要修改其中的商品ID参数,就可以拿到不同商品详情信息(标题、价格、规格、参数、评论、卖家信息),如下图所示。
相信在不就的将来各厂商会意识到这个问题并加强对数据的保护,就像传统的手机App一样。总之,各位:“欲抓从速!”
了解更多分析及数据抓取可查看:
http://cloud.yisurvey.com:9081/html/bfd0c1a1-ea90-4ed6-9a2c-1da4cd72391c.html
本文转载自互联网、仅供学习交流,内容版权归原作者所有,如涉作品、版权和其他问题请联系我们删除处理。
特别说明:本文旨在技术交流,请勿将涉及的技术用于非法用途,否则一切后果自负。如果您觉得我们侵犯了您的合法权益,请联系我们予以处理。
如何抓取微信小程序的数据?相关推荐
- 把jquery city-picker地区选择插件数据改成微信小程序省市地区数据一样(php代码抓取微信小程序地区数据)
原版插件 https://github.com/tshi0912/city-picker 资源下载 https://download.csdn.net/download/jianye112/12036 ...
- 小程序素材抓取软件_如何抓取微信小程序的数据?
2017年1月份备受关注的微信小程序功能正式上线了,好多知名平台纷纷推出了自己的微信小程序,例如大众点评.美团外卖.京东购物.对于我们爬虫开发者来说这绝对是好事情,意味着又多了一个数据来源,又多了一种 ...
- 设置微信PC端代理使用burp抓取微信小程序的数据包
- Burpsuite 抓取微信小程序数据包
Burpsuite 抓取微信小程序数据包 一.网上的方法 ① 手机导入CA证书,设置指定DNS,亲测无效 备注:此方法可抓取微信公众号的数据,但是无法抓取微信小程序的数据 ② 使用安卓模拟器,我下载的 ...
- 抓取微信小程序数据包的三种方法
前言 做安全测试的都会遇到测试某微信小程序,而微信小程序基本都是基于HTTPS的,所以抓取HTTPS数据包就是最关键的一步.最近几天折腾了一下,整理了比较简单.方便的三种方法. 条件 抓取微信小程序数 ...
- MAC系统利用charles抓取微信小程序和手机APP数据包(http和https数据包)
本文中使用的是mac上的抓包工具charles进行抓包,手机是华为荣耀8 下载并安装Charles for Mac Charles for Mac(HTTP信息抓包工具) V4.2.5 苹果电脑版 要 ...
- 【Charles基础】Charles抓取微信小程序乱码,抓取指定的请求
问题: 在抓取微信小程序的接口时,会出现乱码的情况(抓取https) 解决方法: 1.点击 [工具栏-->Proxy-->SSL Proxying Settings...] 2.添加需求抓 ...
- 渗透实战-抓取微信小程序流量包
渗透实战-抓取微信小程序流量包 前言 Proxifier使用 启用HTTPProxy服务器 设置监听地址 设置代理规则 利用Proxifier抓取微信小程序 前言 现在渗透测试不仅要对传统的web测试 ...
- charles抓取微信小程序数据(抓取http和https数据)
本文中使用的是mac上的抓包工具charles进行抓包,手机是华为荣耀8,安卓版本7.0(其实跟版本没啥关系) 要想抓取到微信小程序的数据首先要解决的第一个问题件就是如何 通过charles抓取手机上 ...
最新文章
- ajax传递数组 php,jQuery.ajax向后台传递数组问题如何解决
- Httpclient 实现带参文件上传
- Tomcat和Weblogic部署纯html文件
- 康轩职教计算机应用基础课件,《Excel中IF函数的应用-机器人任务》计算机应用基础职教课件.ppt...
- Java的内存模型,java初级面试笔试题
- 【网页素材】数据图表界面设计UI设计PSD模板
- c++的set_unexpected不起作用
- 13. GameProjec1_GameEngine
- Linux 下rzsz最新安装方法
- java sql注入 正则表达式_有效防止SQL注入的5种方法总结
- 亮晶晶幼儿园家校沟通平台的设计与实现
- 简单记录 03.21
- ic卡识别程序c语言,求ID/IC卡的原理与C语言读取程序?
- 基于matlab进行图像处理学习——从入门到入魔
- android 跨应用服务,跨应用启动Service,出现空指针
- 美化桌面软件测试面试题,软件测试面试题的经典逻辑题
- tomcat consider increasing the maximum size of the cache
- python中assert的用法(简洁明了)
- 自媒体娱乐热点素材怎么找?-即时热榜
- AJAX_入门经典案例