安全学习DAY19_小程序信息打点

信息打点-小程序应用&解包反编译&抓包&静态分析&源码架构

本节知识&思维导图

1、Web&备案信息&单位名称中发现小程序

2、小程序资产静态提取&动态抓包&动态调试

解决：

1、如何获取到目标小程序信息

2、如何从小程序中提取资产信息

本节使用到的链接&工具

凡科快速制作小程序测试：

https://qz.fkw.com/

小程序开发参考

https://blog.csdn.net/qq_52445443/article/details/122351865

反编译工具 - 复杂操作（其中反编译工具收费

https://www.cnblogs.com/oodcloud/p/16964878.html

反编译工具 - 小程序多功能助手（收费，方便

http://xcx.siqingw.top/

微信开发者工具

https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html

小程序获取-各大平台&关键字搜索

获取小程序只需要直接在各大平台搜索关键字即可，如：

• 微信

• 百度

• 支付宝

• 抖音

• 快手

• QQ

• …

小程序-模版测试上线&源码结构

凡科快速制作小程序测试：

https://qz.fkw.com/

小程序开发参考

https://blog.csdn.net/qq_52445443/article/details/122351865

小程序源码结构

1.主体结构

小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。

一个小程序主体部分(即app)由三个文件组成，必须放在项目的根目录，如下：

文件 必需 作用

app.js 是 小程序逻辑

app.json 是 小程序公共配置

app.wxss 否 小程序公共样式表

2.一个小程序页面由四个文件组成，分别是:

xxx.js 页面逻辑

xxx.json 页面配置

xxx.wxml 页面结构

xxx.wxss 页面样式

3.项目整体目录结构

pages 页面文件夹

index 首页

logs 日志

utils

util 工具类(mina框架自动生成,你也可以建立一个：api)

app.js 入口js(类似于java类中的main方法)、全局js

app.json 全局配置文件

app.wxss 全局样式文件

project.config.json 跟你在详情中勾选的配置一样

sitemap.json 用来配置小程序及其页面是否允许被微信索引

小程序抓包-Proxifier&BurpSuite联动

小程序抓包需要使用Proxifier抓包，将数据转发至BurpSuite进行测试。

抓包目的：

• 对抓到的IP或域名进行Web安全测试

• 对抓到的IP或域名进行API安全测试

• 对抓到的IP或域名进行端口服务测试

小程序逆向-解包反编译&动态调试&架构

对源码架构进行分析，目的：

• 更多的资产信息

• 敏感的配置信息

• 未授权访问测试

• 源码中的安全问题

反编译工具：

复杂操作

https://www.cnblogs.com/oodcloud/p/16964878.html

小程序多功能助手

简单工具：http://xcx.siqingw.top/

（工具收费

使用方法：打开工具，找到小程序存放的位置，直接打开，进行反编译得到反编译源码。

微信官方开发工具（反编译后打开源码调试&搜集信息

https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html