溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

發(fā)布時(shí)間:2022-03-04 09:57:45 來源:億速云 閱讀:245 作者:小新 欄目:開發(fā)技術(shù)

小編給大家分享一下網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!

    小程序測(cè)試流程

    分為兩個(gè)方面,解包可以挖掘信息泄露問題、隱藏的接口,抓包可以測(cè)試一些邏輯漏洞、API安全問題。兩者結(jié)合起來就可以邊調(diào)試邊進(jìn)行測(cè)試,更方便于安全測(cè)試。

    搜索目標(biāo)小程序

    目標(biāo)搜索不能僅僅局限于主體單位,支撐單位、供應(yīng)商、全資子公司等都可能是入口點(diǎn),所以小程序當(dāng)然也不能放過它們。

    小程序主體信息確認(rèn)

    查看小程序賬號(hào)主體信息,否則打偏了花費(fèi)了時(shí)間不說,還可能有法律風(fēng)險(xiǎn)。

    點(diǎn)擊小程序

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    點(diǎn)更多就能看到小程序相關(guān)信息

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    小程序包獲取

    PC端

    首先在微信中搜索到小程序,并打開簡(jiǎn)單瀏覽

    然后在自己微信文件保存路徑下找到applet下找到該小程序包,可以通過時(shí)間或者小程序的appid快速定位到目標(biāo)包

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    微信電腦端小程序包存在加密,需要使用工具進(jìn)行解密

    windows端獲取小程序包流程

    打開解密工具,在工具目錄建立wxpack文件夾(解密后的小程序包會(huì)放在這個(gè)地方),運(yùn)行工具解密需要操作的小程序包即可

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    移動(dòng)端

    找到對(duì)應(yīng)目錄,把包拉出來即可

    安卓保存路徑:/data/data/com.tencent.mm/MicroMsg/{?戶ID}/appbrand/pkg/

    iOS保存路徑:/var/mobile/Containers/Data/Application/{程序 UUID}/Library/WechatPrivate/{?戶ID}/WeApp/LocalCache/release/{?程序ID}/ )

    由于安卓data目錄需要root權(quán)限訪問,所以需要手機(jī)或模擬器root

    android模擬器獲取小程序包流程

    這里我用到的是夜神模擬器,登錄微信,找到小程序

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    方法是將復(fù)制的內(nèi)容放到mnt->shared->orther下,就會(huì)自動(dòng)同步到PC端,這是模擬器的共享目錄

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    解包

    工具地址:http://www.kemok4.com/softs/603120.html

    環(huán)境安裝

    npm install uglify-es --save
npm install esprima --save
npm install css-tree --save
npm install cssbeautify --save
npm install vm2 --save
npm install js-beautify --save
npm install escodegen --save
npm install cheerio --save

    執(zhí)行node wuWxapkg.js xxxxxx.wxapkg

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    不出意外應(yīng)該沒啥問題,但意外往往很多。node版本問題,依賴問題等等都有可能導(dǎo)致解包失敗,這個(gè)時(shí)候就希望懂nodejs的同學(xué)深入了解小程序的打包壓縮邏輯,然后動(dòng)手二開項(xiàng)目。不懂的又沒打算往這方面深入研究的怎么辦呢,那換一個(gè)目標(biāo)唄。

    調(diào)試

    打開微信開發(fā)者工具,選擇導(dǎo)入項(xiàng)目

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    導(dǎo)入項(xiàng)目后可能會(huì)出現(xiàn)一些代碼錯(cuò)誤,需要自己手動(dòng)修改,沒有錯(cuò)誤后可以編譯,之后愉快的進(jìn)行調(diào)試了

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    記得在“本地設(shè)置”模塊,勾選上“不校驗(yàn)合法域名”功能。

    有些小程序包含第三方插件,而?程序插件直接在微信客戶端內(nèi)是?法搜索得到的,但我們可以通過登錄??的?程序微信開放平臺(tái)賬 戶在“設(shè)置” —> “第三?設(shè)置” —> “添加插件”中搜尋?程序插件。

    抓包

    簡(jiǎn)單來講就是配置全局代理,讓微信走全局代理。首先打開抓包工具,配置好代理,然后修改windows代理配置

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    就可以抓包分析了

    網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析

    以上是“網(wǎng)絡(luò)安全滲透測(cè)試小程序抓包流程的示例分析”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對(duì)大家有所幫助,如果還想學(xué)習(xí)更多知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道!

    向AI問一下細(xì)節(jié)

    免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

    AI