小程序渗透测试的两种方法——burpsuite、yakit

首先呢主要是配置proxifier,找到小程序的流量,然后使用burpsuite或者yakit去抓包。

一、使用burpsuite+proxifier的抓包测试

1、先配置proxifier,开启http流量转发

勾选确定

2、配置burp对应代理端口,选择profile,点击proxy servers

新建服务器地址端口,端口对应bp设置端口

3、接下来设置应用程序流量代理规则,选择 Proxification Rules

如下图配置,命名可以为小程序,Applications内容填写小程序使用时对应的exe,Action使用刚才创建的代理服务器。

这时候proxifier端就配置好了,接下来就可以配置burpsuite,然后抓包

4、打开bp,在bp设置代理监听处添加刚才使用的监听端口(我刚才使用的是8088端口)

5、随便打开一个微信小程序抓包测试,成功抓包(在测试的时候只测试一个小程序的时候就把小程序平台关掉,只留需要测试的小程序,这样可以精简抓到的包)。

二、使用yakit+proxifier

1、前期如同上边配置好proxifier,然后下载一个yakit工具

2、在MITM 交互式劫持中,设置监听地址和端口,劫持启动。

3、打开小程序抓包试试,成功抓包,yakit还有很多功能,自己可以去玩一下。

相关推荐
_.Switch31 分钟前
高级Python自动化运维:容器安全与网络策略的深度解析
运维·网络·python·安全·自动化·devops
JokerSZ.36 分钟前
【基于LSM的ELF文件安全模块设计】参考
运维·网络·安全
SafePloy安策38 分钟前
软件加密与授权管理:构建安全高效的软件使用体系
安全
芯盾时代1 小时前
数字身份发展趋势前瞻:身份韧性与安全
运维·安全·网络安全·密码学·信息与通信
编程千纸鹤3 小时前
高校宿舍信息管理系统小程序
小程序·宿舍管理小程序
北京搜维尔科技有限公司4 小时前
搜维尔科技:【应用】Xsens在荷兰车辆管理局人体工程学评估中的应用
人工智能·安全
说私域4 小时前
基于开源 AI 智能名片 S2B2C 商城小程序的视频号交易小程序优化研究
人工智能·小程序·零售
云起无垠4 小时前
技术分享 | 大语言模型赋能软件测试:开启智能软件安全新时代
人工智能·安全·语言模型
ac-er88884 小时前
PHP弱类型安全问题
开发语言·安全·php