微信小程序&解包反编译&数据抓包&APK信息资源提取

1.使用模拟器进行微信小程序如何抓包

安卓系统抓包(微信小程序):

(1)安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书

(2)安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书

(3)安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表

解决方法:

(1)将证书安装到系统证书中(需要r00t)

(2)苹果手机(苹果手机不受此影响)

(3)采用安卓系统低于7.0的模拟器(逍遥模拟器)

逍遥模拟器5.1【看是否能开启低于7.0以下模板的微信】安卓系统微信小程序演示流程:

(1)开启代理

(2)使用burp进行抓包

夜神模拟器模拟器多开5安卓系统微信小程序抓包

真机IPhone-OS系统微信小程序抓包

(1)条件:抓包本机需要和Iphone手机处于同一WIFI下

(2)Iphonei配置wif的代理,代理设置地址写本地抓包的工具地址和端口

2.使用电脑版进行微信小程序抓包

2.1小程序助手(需要支付开通才能使用)

使用教程地:https:www.kancloud.cn/ludeqi/XCXZS/2607637

最新版下载地址:https:xcX.siqingw.top/xcx.zip

使用小程序助手(需要支付开通才能使用)进行抓包,进入到微信文件目录下,打开微信小程序,显示微信目录下出现内容

解包文件为微信目录下所打开的微信小程序内容

获取到小程序架构内容

2.2免费版本(有时需要解密有时会缺少内容)

(1)https://github.com/sanriqing/WxAppUnpacker

(2)安装node.js:http://nodejs.cn/download/

(3)安装依赖:npm install

(4)模拟器取出wxapkg文件:/data/data/com.tencent.mm/MicroMsg/xxxxxx/appbrand/pkg

(5)反编译解包:node wuWxapkg.js -s=.../xxxx.wxapkg

3.安全点

渗透角度:测试的pp提供服务的服务器,网站,接口等,一旦这个有安全问题,被不法分子利用,相当于APP正常服务就会受到直接的影响!

APK-白盒-Java代码审计

APK-黑盒-资产&WEB&IP&接口等

小程序-白盒-Node.JS代码审计

小程序黑盒资产&WEB&P&接口等

开发角度:测试的aPp里代码的设计安全,采用没加密的发送数据,采用权限过高的设置

导致攻击者利用app获取到手机的敏感信息等。

弱加密,逻辑安全,授权,中间人等

相关推荐
小徐_233312 小时前
Wot UI 2.2.0 发布:Button 新增 subtle,VideoPreview 预览体验继续增强
前端·微信小程序·uni-app
蜗牛前端3 天前
codex 全流程开发上线的高颜值礼簿小程序
前端·微信小程序
爱勇宝7 天前
我想认真做一件小事:让孩子和家长更好地互动
微信小程序·小程序·云开发
唯火锅不可辜负7 天前
避坑指南:iOS 下 scroll-view 嵌套 fixed 布局的“翻车”现场与修复
微信小程序
didiplus7 天前
运维人的随身神器:我把25个常用工具塞进了微信小程序
微信小程序
一份执念8 天前
uni-app 小程序分包限制处理与主包体积优化实战
前端·微信小程序
一份执念8 天前
ECharts 安装与使用完全指南:从全量引入到小程序分包优化
微信小程序·echarts
skiyee9 天前
🔥UniApp 仅需 5 行代码!实现所有页面中控制应用主题变化
前端·微信小程序
Jinkey10 天前
要用户手机号真的是为了打骚扰电话吗?浅谈微信生态会员账号体系与资产合并
后端·微信·微信小程序
用户43242810611412 天前
微信小程序从0到1接入微信支付的完整攻略
微信小程序