微信小程序&解包反编译&数据抓包&APK信息资源提取

1.使用模拟器进行微信小程序如何抓包

安卓系统抓包(微信小程序):

(1)安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书

(2)安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书

(3)安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表

解决方法:

(1)将证书安装到系统证书中(需要r00t)

(2)苹果手机(苹果手机不受此影响)

(3)采用安卓系统低于7.0的模拟器(逍遥模拟器)

逍遥模拟器5.1【看是否能开启低于7.0以下模板的微信】安卓系统微信小程序演示流程:

(1)开启代理

(2)使用burp进行抓包

夜神模拟器模拟器多开5安卓系统微信小程序抓包

真机IPhone-OS系统微信小程序抓包

(1)条件:抓包本机需要和Iphone手机处于同一WIFI下

(2)Iphonei配置wif的代理,代理设置地址写本地抓包的工具地址和端口

2.使用电脑版进行微信小程序抓包

2.1小程序助手(需要支付开通才能使用)

使用教程地:https:www.kancloud.cn/ludeqi/XCXZS/2607637

最新版下载地址:https:xcX.siqingw.top/xcx.zip

使用小程序助手(需要支付开通才能使用)进行抓包,进入到微信文件目录下,打开微信小程序,显示微信目录下出现内容

解包文件为微信目录下所打开的微信小程序内容

获取到小程序架构内容

2.2免费版本(有时需要解密有时会缺少内容)

(1)https://github.com/sanriqing/WxAppUnpacker

(2)安装node.js:http://nodejs.cn/download/

(3)安装依赖:npm install

(4)模拟器取出wxapkg文件:/data/data/com.tencent.mm/MicroMsg/xxxxxx/appbrand/pkg

(5)反编译解包:node wuWxapkg.js -s=.../xxxx.wxapkg

3.安全点

渗透角度:测试的pp提供服务的服务器,网站,接口等,一旦这个有安全问题,被不法分子利用,相当于APP正常服务就会受到直接的影响!

APK-白盒-Java代码审计

APK-黑盒-资产&WEB&IP&接口等

小程序-白盒-Node.JS代码审计

小程序黑盒资产&WEB&P&接口等

开发角度:测试的aPp里代码的设计安全,采用没加密的发送数据,采用权限过高的设置

导致攻击者利用app获取到手机的敏感信息等。

弱加密,逻辑安全,授权,中间人等

相关推荐
编程千纸鹤3 小时前
高校宿舍信息管理系统小程序
小程序·宿舍管理小程序
说私域4 小时前
基于开源 AI 智能名片 S2B2C 商城小程序的视频号交易小程序优化研究
人工智能·小程序·零售
丁总学Java16 小时前
微信小程序,点击bindtap事件后,没有跳转到详情页,有可能是app.json中没有正确配置页面路径
微信小程序·小程序·json
说私域17 小时前
基于开源 AI 智能名片、S2B2C 商城小程序的用户获取成本优化分析
人工智能·小程序
mosen86817 小时前
Uniapp去除顶部导航栏-小程序、H5、APP适用
vue.js·微信小程序·小程序·uni-app·uniapp
qq229511650218 小时前
微信小程序的汽车维修预约管理系统
微信小程序·小程序·汽车
尚梦1 天前
uni-app 封装刘海状态栏(适用小程序, h5, 头条小程序)
前端·小程序·uni-app
小飞哥liac1 天前
微信小程序的组件
微信小程序
stormjun1 天前
Java基于微信小程序的私家车位共享系统(附源码,文档)
java·微信小程序·共享停车位·私家车共享停车位小程序·停车位共享
paopaokaka_luck1 天前
基于Spring Boot+Vue的助农销售平台(协同过滤算法、限流算法、支付宝沙盒支付、实时聊天、图形化分析)
java·spring boot·小程序·毕业设计·mybatis·1024程序员节