1.使用模拟器进行微信小程序如何抓包
安卓系统抓包(微信小程序):
(1)安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书
(2)安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书
(3)安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表
解决方法:
(1)将证书安装到系统证书中(需要r00t)
(2)苹果手机(苹果手机不受此影响)
(3)采用安卓系统低于7.0的模拟器(逍遥模拟器)
逍遥模拟器5.1【看是否能开启低于7.0以下模板的微信】安卓系统微信小程序演示流程:
(1)开启代理
(2)使用burp进行抓包
夜神模拟器模拟器多开5安卓系统微信小程序抓包
真机IPhone-OS系统微信小程序抓包
(1)条件:抓包本机需要和Iphone手机处于同一WIFI下
(2)Iphonei配置wif的代理,代理设置地址写本地抓包的工具地址和端口
2.使用电脑版进行微信小程序抓包
2.1小程序助手(需要支付开通才能使用)
使用教程地:https:www.kancloud.cn/ludeqi/XCXZS/2607637
最新版下载地址:https:xcX.siqingw.top/xcx.zip
使用小程序助手(需要支付开通才能使用)进行抓包,进入到微信文件目录下,打开微信小程序,显示微信目录下出现内容
解包文件为微信目录下所打开的微信小程序内容
获取到小程序架构内容
2.2免费版本(有时需要解密有时会缺少内容)
(1)https://github.com/sanriqing/WxAppUnpacker
(2)安装node.js:http://nodejs.cn/download/
(3)安装依赖:npm install
(4)模拟器取出wxapkg文件:/data/data/com.tencent.mm/MicroMsg/xxxxxx/appbrand/pkg
(5)反编译解包:node wuWxapkg.js -s=.../xxxx.wxapkg
3.安全点
渗透角度:测试的pp提供服务的服务器,网站,接口等,一旦这个有安全问题,被不法分子利用,相当于APP正常服务就会受到直接的影响!
APK-白盒-Java代码审计
APK-黑盒-资产&WEB&IP&接口等
小程序-白盒-Node.JS代码审计
小程序黑盒资产&WEB&P&接口等
开发角度:测试的aPp里代码的设计安全,采用没加密的发送数据,采用权限过高的设置
导致攻击者利用app获取到手机的敏感信息等。
弱加密,逻辑安全,授权,中间人等