和app类似
知识点
web-备案信息-单位名称中发现小程序
小程序资产静态提取-动态抓包-动态调试
解决
1、获取到目标小程序信息
2、如何从小程序中提取资产信息
一、获取-各大平台-关键字搜索
1、微信
2、百度
3、支付宝
4、抖音头条
二、小程序基础
测试:凡科建站
参考:微信开发者工具
1.主体结构
小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,如下:
2.一个小程序页面由四个文件组成,分别是:
xxx・js ---页面逻辑
xxx.json ---页面配置
xxx.wxml ---页面结构
xxx.wxss ---页面样式
前三个比较重要
3.项目整体目录结构
pages ---页面文件夹
index ---首页
logs ---日志
utils、util ---工具类(mina框架自动生成,也可以建立一个:api)
app.js ---入口js(类似于java类中的main方法)、全局js全局配置文件
app.json ---全局样式文件
app.wxss ---和在详情中勾选的配置一样
project.config.json ---用来配置小程序及其页面是否允许被微信索引
sitemap.json
三、动态抓包
Proxifier&BurpSuite联动
1、对抓到的IP或域名进行web安全测试
2、对抓到的IP或域名进行API安全测试
3、对抓到的IP或域名进行端口服务测试
此处要注意证书和代理的配置问题
先解包,再反编译,包的位置在WeChat Files下的Applet,.wxapkg文件,有多个就全选,安装微信开发者工具
四、小程序逆向
解包反编译&动态调试&架构
对源码架构进行分析
1、更多的资产信息
2、敏感的配置信息
3、未授权访问测试
4、源码中的安全问题
工具及资源
小程序多功能组手
小问题:API
小结
今天看到了一只去喵星的小猫
Comments NOTHING