简单记录一下,坑点不少,主要在前期环境准备环节。
实在技术贴参考:微信小程序的渗透五脉。全文分五章,奈何自己太水,只实践了两章半。然而只运用前两章半中抓包和逆向的知识,就能发现很多小程序(公众号)都会存在类似的问题。
非授权访问和数据泄露。(当然在2020年互联网数据安全治理白皮书中SQL注入也和前两者并称为最普遍的数据安全问题)
前期准备:
抓包:安卓5+微信8.0内测版+burp2.0
逆向:安卓7+微信最新版+模拟器adb+wxappUnpacker+微信开发者工具
抓包需要配置https证书:模拟器安装:夜神模拟器安装burp证书、附虚拟机安装:Kali-Linux火狐浏览器安装burp证书
几个坑:
1、安装证书时会有个别问题,参考上面两篇文章
2、我的burp用jar起不来,必须在命令行执行启动指令才行
java -Xbootclasspath/p:burp-loader-keygen.jar -jar burpsuite_pro_v2.0beta.jar
3、wxappUnpacker也不用github给的.bat或者.sh起了,直接
node wuWxapkg dump下来的包名
4、我一直也没逆向出过子包,不过有主包的话,倒是正常能看
5、体验版小程序只有debug文件,没有包