小程序渗透测试的两种方法——burpsuite、yakit

首先呢主要是配置proxifier,找到小程序的流量,然后使用burpsuite或者yakit去抓包。

一、使用burpsuite+proxifier的抓包测试

1、先配置proxifier,开启http流量转发

勾选确定

2、配置burp对应代理端口,选择profile,点击proxy servers

新建服务器地址端口,端口对应bp设置端口

3、接下来设置应用程序流量代理规则,选择 Proxification Rules

如下图配置,命名可以为小程序,Applications内容填写小程序使用时对应的exe,Action使用刚才创建的代理服务器。

这时候proxifier端就配置好了,接下来就可以配置burpsuite,然后抓包

4、打开bp,在bp设置代理监听处添加刚才使用的监听端口(我刚才使用的是8088端口)

5、随便打开一个微信小程序抓包测试,成功抓包(在测试的时候只测试一个小程序的时候就把小程序平台关掉,只留需要测试的小程序,这样可以精简抓到的包)。

二、使用yakit+proxifier

1、前期如同上边配置好proxifier,然后下载一个yakit工具

2、在MITM 交互式劫持中,设置监听地址和端口,劫持启动。

3、打开小程序抓包试试,成功抓包,yakit还有很多功能,自己可以去玩一下。

相关推荐
weixin_lynhgworld2 小时前
淘宝扭蛋机小程序系统开发:重塑电商互动模式
大数据·小程序
ᥬ 小月亮4 小时前
Uniapp编写微信小程序,绘制动态圆环进度条
微信小程序·小程序·uni-app
qq_430908577 小时前
网络安全-机遇与挑战
安全
希望奇迹很安静7 小时前
SSRF_XXE_RCE_反序列化学习
学习·web安全·ctf·渗透测试学习
程序员编程指南9 小时前
Qt 网络编程进阶:网络安全与加密
c语言·网络·c++·qt·web安全
安 当 加 密12 小时前
守护汽车“空中升级“:基于HSM/KMS的安全OTA固件签名与验证方案
安全·汽车
说私域14 小时前
技术赋能与营销创新:开源链动2+1模式AI智能名片S2B2C商城小程序的流量转化路径研究
人工智能·小程序·开源
大咖分享课20 小时前
多租户系统中的安全隔离机制设计
人工智能·安全·安全隔离
荔枝吻20 小时前
软件异常读写威胁硬盘安全:从过往案例到防护之道
安全·硬盘
小马爱打代码21 小时前
Spring Boot 接口安全设计:接口限流、防重放攻击、签名验证
网络·spring boot·安全