微信小程序&解包反编译&数据抓包&APK信息资源提取

1.使用模拟器进行微信小程序如何抓包

安卓系统抓包(微信小程序):

(1)安卓系统7.0以下版本,不管微信任意版本,都会信任系统提供的证书

(2)安卓系统7.0以上版本,微信7.0以下版本,微信会信任系统提供的证书

(3)安卓系统7.0以上版本,微信7.0以上版本,微信只信任它自己配置的证书列表

解决方法:

(1)将证书安装到系统证书中(需要r00t)

(2)苹果手机(苹果手机不受此影响)

(3)采用安卓系统低于7.0的模拟器(逍遥模拟器)

逍遥模拟器5.1【看是否能开启低于7.0以下模板的微信】安卓系统微信小程序演示流程:

(1)开启代理

(2)使用burp进行抓包

夜神模拟器模拟器多开5安卓系统微信小程序抓包

真机IPhone-OS系统微信小程序抓包

(1)条件:抓包本机需要和Iphone手机处于同一WIFI下

(2)Iphonei配置wif的代理,代理设置地址写本地抓包的工具地址和端口

2.使用电脑版进行微信小程序抓包

2.1小程序助手(需要支付开通才能使用)

使用教程地:https:www.kancloud.cn/ludeqi/XCXZS/2607637

最新版下载地址:https:xcX.siqingw.top/xcx.zip

使用小程序助手(需要支付开通才能使用)进行抓包,进入到微信文件目录下,打开微信小程序,显示微信目录下出现内容

解包文件为微信目录下所打开的微信小程序内容

获取到小程序架构内容

2.2免费版本(有时需要解密有时会缺少内容)

(1)https://github.com/sanriqing/WxAppUnpacker

(2)安装node.js:http://nodejs.cn/download/

(3)安装依赖:npm install

(4)模拟器取出wxapkg文件:/data/data/com.tencent.mm/MicroMsg/xxxxxx/appbrand/pkg

(5)反编译解包:node wuWxapkg.js -s=.../xxxx.wxapkg

3.安全点

渗透角度:测试的pp提供服务的服务器,网站,接口等,一旦这个有安全问题,被不法分子利用,相当于APP正常服务就会受到直接的影响!

APK-白盒-Java代码审计

APK-黑盒-资产&WEB&IP&接口等

小程序-白盒-Node.JS代码审计

小程序黑盒资产&WEB&P&接口等

开发角度:测试的aPp里代码的设计安全,采用没加密的发送数据,采用权限过高的设置

导致攻击者利用app获取到手机的敏感信息等。

弱加密,逻辑安全,授权,中间人等

相关推荐
dccose9 小时前
vue3 uniapp 扫普通链接或二维码打开小程序并获取携带参数
小程序·uni-app
尘浮生14 小时前
Java项目实战II基于微信小程序的校运会管理系统(开发文档+数据库+源码)
java·开发语言·数据库·微信小程序·小程序·maven·intellij-idea
尘浮生19 小时前
Java项目实战II基于微信小程序的电影院买票选座系统(开发文档+数据库+源码)
java·开发语言·数据库·微信小程序·小程序·maven·intellij-idea
HerayChen21 小时前
微信小程序混合 h5 wx.miniProgram是 undefined
微信小程序·小程序·h5
耶啵奶膘1 天前
uniapp+vue2全局监听退出小程序清除缓存
小程序·uni-app
中云DDoS CC防护蔡蔡1 天前
微信小程序被攻击怎么选择高防产品
服务器·网络安全·微信小程序·小程序·ddos
井眼1 天前
微信小程序-prettier 格式化
微信小程序·小程序
qq_17448285751 天前
springboot基于微信小程序的旧衣回收系统的设计与实现
spring boot·后端·微信小程序
wqq_9922502771 天前
springboot基于微信小程序的食堂预约点餐系统
数据库·微信小程序·小程序