網(wǎng)絡(luò)安全滲透測試小程序抓包流程步驟詳解
小程序測試流程
分為兩個方面,解包可以挖掘信息泄露問題、隱藏的接口,抓包可以測試一些邏輯漏洞、API安全問題。兩者結(jié)合起來就可以邊調(diào)試邊進(jìn)行測試,更方便于安全測試。
搜索目標(biāo)小程序
目標(biāo)搜索不能僅僅局限于主體單位,支撐單位、供應(yīng)商、全資子公司等都可能是入口點,所以小程序當(dāng)然也不能放過它們。
小程序主體信息確認(rèn)
查看小程序賬號主體信息,否則打偏了花費了時間不說,還可能有法律風(fēng)險。
點擊小程序
點更多就能看到小程序相關(guān)信息
小程序包獲取
PC端
首先在微信中搜索到小程序,并打開簡單瀏覽
然后在自己微信文件保存路徑下找到applet下找到該小程序包,可以通過時間或者小程序的appid快速定位到目標(biāo)包
微信電腦端小程序包存在加密,需要使用工具進(jìn)行解密
windows端獲取小程序包流程
打開解密工具,在工具目錄建立wxpack文件夾(解密后的小程序包會放在這個地方),運行工具解密需要操作的小程序包即可
移動端
找到對應(yīng)目錄,把包拉出來即可
安卓保存路徑:/data/data/com.tencent.mm/MicroMsg/{?戶ID}/appbrand/pkg/
iOS保存路徑:/var/mobile/Containers/Data/Application/{程序 UUID}/Library/WechatPrivate/{?戶ID}/WeApp/LocalCache/release/{?程序ID}/ )
由于安卓data目錄需要root權(quán)限訪問,所以需要手機或模擬器root
android模擬器獲取小程序包流程
這里我用到的是夜神模擬器,登錄微信,找到小程序
方法是將復(fù)制的內(nèi)容放到mnt->shared->orther下,就會自動同步到PC端,這是模擬器的共享目錄
解包
工具地址:http://www.dbjr.com.cn/softs/603120.html
環(huán)境安裝
npm install uglify-es --save npm install esprima --save npm install css-tree --save npm install cssbeautify --save npm install vm2 --save npm install js-beautify --save npm install escodegen --save npm install cheerio --save
執(zhí)行node wuWxapkg.js xxxxxx.wxapkg
不出意外應(yīng)該沒啥問題,但意外往往很多。node版本問題,依賴問題等等都有可能導(dǎo)致解包失敗,這個時候就希望懂nodejs的同學(xué)深入了解小程序的打包壓縮邏輯,然后動手二開項目。不懂的又沒打算往這方面深入研究的怎么辦呢,那換一個目標(biāo)唄。
調(diào)試
打開微信開發(fā)者工具,選擇導(dǎo)入項目
導(dǎo)入項目后可能會出現(xiàn)一些代碼錯誤,需要自己手動修改,沒有錯誤后可以編譯,之后愉快的進(jìn)行調(diào)試了
記得在“本地設(shè)置”模塊,勾選上“不校驗合法域名”功能。
有些小程序包含第三方插件,而?程序插件直接在微信客戶端內(nèi)是?法搜索得到的,但我們可以通過登錄??的?程序微信開放平臺賬 戶在“設(shè)置” —> “第三?設(shè)置” —> “添加插件”中搜尋?程序插件。
抓包
簡單來講就是配置全局代理,讓微信走全局代理。首先打開抓包工具,配置好代理,然后修改windows代理配置
就可以抓包分析了
以上就是網(wǎng)絡(luò)安全滲透測試小程序抓包流程步驟詳解的詳細(xì)內(nèi)容,更多關(guān)于網(wǎng)絡(luò)安全滲透測試小程序抓包的資料請關(guān)注腳本之家其它相關(guān)文章!
相關(guān)文章
關(guān)于Web網(wǎng)絡(luò)如何防范XSS攻擊的措施
這篇文章主要介紹了關(guān)于Web網(wǎng)絡(luò)如何防范XSS攻擊的措施,XSS攻擊是一種常見的網(wǎng)絡(luò)安全漏洞,它可以通過注入惡意代碼來攻擊用戶的計算機和瀏覽器,從而竊取用戶的敏感信息或執(zhí)行惡意操作,需要的朋友可以參考下2023-07-07網(wǎng)絡(luò)安全滲透測試反序列化漏洞分析與復(fù)現(xiàn)工作
這篇文章主要為大家介紹了網(wǎng)絡(luò)安全滲透測試反序列化漏洞分析與復(fù)現(xiàn)的工作流程,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步2022-02-02Web網(wǎng)絡(luò)安全解析寬字節(jié)注入攻擊原理
這篇文章主要介紹了Web網(wǎng)絡(luò)安全解析寬字節(jié)注入攻擊原理,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪2021-11-1116進(jìn)制的轉(zhuǎn)換之javascript運行時會自動轉(zhuǎn)碼
16進(jìn)制的轉(zhuǎn)換之javascript運行時會自動轉(zhuǎn)碼...2007-05-05