简单记录一下,坑点不少,主要在前期环境准备环节。

实在技术贴参考:微信小程序的渗透五脉。全文分五章,奈何自己太水,只实践了两章半。然而只运用前两章半中抓包和逆向的知识,就能发现很多小程序(公众号)都会存在类似的问题。

非授权访问和数据泄露。(当然在2020年互联网数据安全治理白皮书中SQL注入也和前两者并称为最普遍的数据安全问题)

前期准备:

抓包:安卓5+微信8.0内测版+burp2.0

逆向:安卓7+微信最新版+模拟器adb+wxappUnpacker+微信开发者工具

抓包需要配置https证书:模拟器安装:夜神模拟器安装burp证书、附虚拟机安装:Kali-Linux火狐浏览器安装burp证书

几个坑:

1、安装证书时会有个别问题,参考上面两篇文章

2、我的burp用jar起不来,必须在命令行执行启动指令才行

java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v2.0beta.jar

3、wxappUnpacker也不用github给的.bat或者.sh起了,直接

node wuWxapkg dump下来的包名

4、我一直也没逆向出过子包,不过有主包的话,倒是正常能看

5、体验版小程序只有debug文件,没有包


标题:微信小程序(公众号)渗透测试简要记录
作者:jyl
地址:http://www.jinyunlong.xyz/articles/2021/08/22/1629562222200.html