小程序测试流程
分为两个方面,解包可以挖掘信息泄露问题、隐藏的接口,抓包可以测试一些逻辑漏洞、安全问题。两者结合起来就可以边调试边进行测试,更方便于安全测试。
搜索目标小程序
目标搜索不能仅仅局限于主体单位,支撑单位、供应商、全资子等都可能是入口点,所以小程序当然也不能放过它们。
小程序主体信息确认
查看小程序账主体信息,否则打偏了花费了时间不说,还可能有法律风险。点击小程序,点更多资料就能看到小程序相关信息
小程序包获取
端
首先在微信中搜索到小程序,并打开简单浏览
然后在自己微信文件保存路径下找到下找到该小程序包,可以通过时间或者小程序的快速定位到目标包
微信电脑端小程序包存在加密,需要使用工具进行解密下载地址
至于位置在微信文件夹下
端
找到对应目录,把包拉出来即可
安卓保存路径:///..//{⽤户}///
保存路径://////{程序 }///{⽤户}////{⼩程序}/ )
由于安卓目录需要权限访问,所以需要手机或模拟器
模拟器获取小程序包流程
这里我用到的是夜神模拟器,登录微信,找到小程序
方法是将的内容放到->->下,就会自动同步到端,这是模拟器的共享目录
解包
工具地址
安装
环境安装
- -- -- - -- -- 2 -- - -- -- --
执行 . .
调试
打开微信者工具,选择导入项目,即可调试
后记因为解包获取到的都是静态资源,所以小程序更多的是进行敏感信息的测试(例如对文件中的接口进行渗透测试)
————————————————作者:6
© 版权声明
本站文章均来自于网络,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,核实后本网站将在24小时内删除侵权内容。邮箱:dxsen@qq.com
THE END
