小程序渗透测试的两种方法——burpsuite、yakit

首先呢主要是配置proxifier,找到小程序的流量,然后使用burpsuite或者yakit去抓包。

一、使用burpsuite+proxifier的抓包测试

1、先配置proxifier,开启http流量转发

勾选确定

2、配置burp对应代理端口,选择profile,点击proxy servers

新建服务器地址端口,端口对应bp设置端口

3、接下来设置应用程序流量代理规则,选择 Proxification Rules

如下图配置,命名可以为小程序,Applications内容填写小程序使用时对应的exe,Action使用刚才创建的代理服务器。

这时候proxifier端就配置好了,接下来就可以配置burpsuite,然后抓包

4、打开bp,在bp设置代理监听处添加刚才使用的监听端口(我刚才使用的是8088端口)

5、随便打开一个微信小程序抓包测试,成功抓包(在测试的时候只测试一个小程序的时候就把小程序平台关掉,只留需要测试的小程序,这样可以精简抓到的包)。

二、使用yakit+proxifier

1、前期如同上边配置好proxifier,然后下载一个yakit工具

2、在MITM 交互式劫持中,设置监听地址和端口,劫持启动。

3、打开小程序抓包试试,成功抓包,yakit还有很多功能,自己可以去玩一下。

相关推荐
浩浩测试一下6 分钟前
SQL注入高级绕过手法汇总 重点
数据库·sql·安全·web安全·网络安全·oracle·安全架构
上趣工作室35 分钟前
微信小程序开发1------微信小程序中的消息提示框总结
微信小程序·小程序
三天不学习2 小时前
微信小程序蓝牙连接打印机打印单据完整Demo【蓝牙小票打印】
微信小程序·小程序·蓝牙打印
帅云毅2 小时前
Web漏洞--XSS之订单系统和Shell箱子
前端·笔记·web安全·php·xss
韩仔搭建3 小时前
美乐迪电玩大厅加载机制与 RoomList 配置结构分析
游戏·小程序·开源·lua
迷路的小绅士4 小时前
常见网络安全攻击类型深度剖析(三):DDoS攻击——分类、攻击机制及企业级防御策略
网络·web安全·ddos
极小狐4 小时前
极狐GitLab 项目功能和权限解读
运维·git·安全·gitlab·极狐gitlab
WKK_5 小时前
uniapp自定义封装tabbar
前端·javascript·小程序·uni-app
国科安芯5 小时前
面向高性能运动控制的MCU:架构创新、算法优化与应用分析
单片机·嵌入式硬件·安全·架构·机器人·汽车·risc-v
ALe要立志成为web糕手6 小时前
[BJDCTF2020]EzPHP
web安全·网络安全·php·ctf