电子说
微信小程序
小程序测试流程
分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。
搜索目标小程序
目标搜索不能仅仅局限于主体单位,支撑单位、供应商、全资子公司等都可能是入口点,所以小程序当然也不能放过它们。
小程序主体信息确认
查看小程序账号主体信息,否则打偏了花费了时间不说,还可能有法律风险。点击小程序,点更多资料就能看到小程序相关信息
小程序包获取
PC端
首先在微信中搜索到小程序,并打开简单浏览
然后在自己微信文件保存路径下找到applet下找到该小程序包,可以通过时间或者小程序的appid快速定位到目标包
微信电脑端小程序包存在加密,需要使用工具进行解密
至于位置在微信文件夹Applet下
移动端
找到对应目录,把包拉出来即可
由于安卓data目录需要root权限访问,所以需要手机或模拟器root
android模拟器获取小程序包流程
这里我用到的是夜神模拟器,登录微信,找到小程序
方法是将复制的内容放到mnt->shared->orther下,就会自动同步到PC端,这是模拟器的共享目录
解包
kali安装npm
apt-get update apt install npm
环境安装
npm install uglify-es --save npm install esprima --save npm install css-tree --save npm install cssbeautify --save npm install vm2 --save npm install js-beautify --save npm install escodegen --save npm install cheerio --save
执行node wuWxapkg.js xxxxxx.wxapkg
node wuWxapkg.js wx6693076a088ea68e.wxapkg
调试
打开微信开发者工具,选择导入项目,即可调试
后记
因为解包获取到的都是静态资源,所以小程序更多的是进行敏感信息的测试(例如对js文件中的接口进行渗透测试)。
审核编辑:刘清
全部0条评论
快来发表一下你的评论吧 !