网络安全之小程序抓包渗透测试流程
小程序测试流程
分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。
搜索目标小程序
目标搜索不能仅仅局限于主体单位,支撑单位、供应商、全资子公司等都可能是入口点,所以小程序当然也不能放过它们。
小程序主体信息确认
查看小程序账号主体信息,否则打偏了花费了时间不说,还可能有法律风险。
点击小程序
点更多就能看到小程序相关信息
【一>所有资源获取<一】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
小程序包获取
PC端
首先在微信中搜索到小程序,并打开简单浏览
然后在自己微信文件保存路径下找到applet下找到该小程序包,可以通过时间或者小程序的appid快速定位到目标包
微信电脑端小程序包存在加密,需要使用工具进行解密
windows端获取小程序包流程
打开解密工具,在工具目录建立wxpack文件夹(解密后的小程序包会放在这个地方),运行工具解密需要操作的小程序包即可
移动端
找到对应目录,把包拉出来即可
安卓保存路径:/data/data/com.tencent.mm/MicroMsg/{⽤户ID}/appbrand/pkg/
iOS保存路径:/var/mobile/Containers/Data/Application/{程序 UUID}/Library/WechatPrivate/{⽤户ID}/WeApp/LocalCache/release/{⼩程序ID}/ )
由于安卓data目录需要root权限访问,所以需要手机或模拟器root
android模拟器获取小程序包流程
这里我用到的是夜神模拟器,登录微信,找到小程序
方法是将复制的内容放到mnt->shared->orther下,就会自动同步到PC端,这是模拟器的共享目录
解包
工具地址:https://github.com/xuedingmiaojun/wxappUnpacker
环境安装
npm install uglify-es --save
npm install esprima --save
npm install css-tree --save
npm install cssbeautify --save
npm install vm2 --save
npm install js-beautify --save
npm install escodegen --save
npm install cheerio --save
执行node wuWxapkg.js xxxxxx.wxapkg
不出意外应该没啥问题,但意外往往很多。node版本问题,依赖问题等等都有可能导致解包失败,这个时候就希望懂nodejs的同学深入了解小程序的打包压缩逻辑,然后动手二开项目。不懂的又没打算往这方面深入研究的怎么办呢,那换一个目标呗。
调试
打开微信开发者工具,选择导入项目
导入项目后可能会出现一些代码错误,需要自己手动修改,没有错误后可以编译,之后愉快的进行调试了
记得在“本地设置”模块,勾选上“不校验合法域名”功能。
有些小程序包含第三方插件,而⼩程序插件直接在微信客户端内是⽆法搜索得到的,但我们可以通过登录⾃⼰的⼩程序微信开放平台账 户在“设置” —> “第三⽅设置” —> “添加插件”中搜寻⼩程序插件。
抓包
简单来讲就是配置全局代理,让微信走全局代理。首先打开抓包工具,配置好代理,然后修改windows代理配置
就可以抓包分析了
网络安全之小程序抓包渗透测试流程相关推荐
- 小程序抓包反编译测试从0到1
APP.小程序抓包,测试教学视频请观看: Android安全逆向技术入门课程--移动安全视频教程-信息安全-CSDN程序员研修院熟悉了解Android程序APK的基本结构.文件格式 掌握APK反编译常 ...
- 微信小程序抓包教程:Burpsuite版 附所需工具
身为一名码农,抓包肯定是一项必备技能.工作中遇到很多次需要对小程序进行抓包排查问题.下面分享一下我的抓包方式,使用的是电脑版小程序抓包,跟手机的方式都差不多的. 一.环境 微信版本:3.6.0.18 ...
- 使用 Fiddler 进行小程序抓包
为什么是 Fiddler 理由很简单:因为大多数测试同学都是用 Fiddler.虽然不同的抓包工具功能都大同小异,但就像开发者统一开发工具能够提高团队协作的效率一样,开发和测试之间统一工具也能提高大家 ...
- 微信小程序抓包方法汇总
前言 ios端和mac用户可以忽略以下内容,本文针对于windows端和android端的微信无法抓取小程序数据包提出相关解决方案. 分析 Android7. 0及以上的系统中,每个应用可以定义自己的 ...
- APP 抓包和微信小程序抓包-Charles 的精简使用教程
APP 抓包和微信小程序抓包-Charles 的精简使用教程 2021-09-25 更新 2019-07-10 更新 目标 教程 一.安装 Charles 二.Charles 简介 (1)Charle ...
- 使用fiddler手机微信小程序抓包
1电脑下载fiddler安装之后,电脑下载安装证书等操作之后 2手机打开微信小程序,使用电脑打开小程序可以直接在电脑上抓包很方便,不用抓手机上的包了.但是有一些电脑抓不了包的情况,比如电脑不能拍视频拍 ...
- Fiddler 微信小程序抓包
前言 刚刚在进行微信小程序抓包时, 我通过手机WiFi代理怎么也抓不到包.百度了一圈总结三点 小程序无法抓包原因 : 安卓系统 7.0 以下版本,不管微信任意版本,都会信任系统提供的证书 安卓系统 7 ...
- Fidder微信小程序抓包抓不上 fidder微信小程序抓包入门保姆教程
Fidder小程序抓包抓不上 Fidder中文版本下载 原因分析 抓不上3种原因:1 没有配置fidder 2 没有删除WMPFRuntime微信小程序插件目录 3微信3.7新版本升级删不掉 WMPF ...
- Fiddler对微信小程序抓包不成功
对微信小程序抓包不成功时: 解决方案: 任意打开一个小程序,打开任务管理器找到对应的进程.右键打开文件位置 看到WechatApp.exe变成了WechatAppex.exe了,应该是升级了. 退出电 ...
最新文章
- Nominal data 与Ordinal data区别
- 高效能人士的七个习惯_《高效能人士的七个习惯》导图和读后感
- Oracle中去重复记录 不用distinct
- rem单位中html默认字号,轻松掌握CSS3中的字体大小单位rem的使用方法
- 如何在线查看.mmap格式文件
- 记一次部署发现r2dbc连接数据库问题
- 软件测试员工自述,软件测试人员的述职报告.docx
- imdisk命令行使用及配置
- 英语 名词复数的变化及其发音
- Quartz是什么?
- 比热容相关的热量计算机应用,13章三节比热容.doc
- 使用win7自带的备份还原、创建系统镜像
- delphi 域名解析IP 域名转为IP地址
- 边酒店V2系统v1.0.15 酒店预定 民宿客栈
- java给图片、word、ppt、excel、pdf添加水印
- uniapp写微信授权登录
- 慧荣SM2246主控固态硬盘开卡一直pretest解决方法
- 【小沐学C++】C++17实现文件操作<filesystem>
- C4D模型工具—对齐法线
- win11鼠标双击变成重命名解决方法
热门文章
- c语言如何初始化程序,浅谈C语言的初始化
- MySQL5.7 Attempted to use a closed or broken resource pool 处理过程
- 网景创始人:软件正吞噬整个世界
- 极点突然中文标点变全角了
- html的动画属性,css动画属性使用及实例代码(transition/transform/animation)
- SQLServer·面试题
- 虚拟服务器 vmotion,不使用 vMotion 将 VMware 虚拟机从一台主机迁移至另一台主机...
- vMotion 操作失败进度卡在14% ,报错: Operation Timed out
- 计算机网络属性设置方法,电脑网络属性设置图文教程
- 3D Slicer简单三维重建