019-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构

网络安全 > 小迪安全2023 > 信息打点
Created At :
Views 👀 :
  1. 信息打点-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构
    1. 小程序获取-各大平台&关键字搜索
    2. 小程序体验-凡科建站&模版测试上线
    3. 小程序结构
      1. 1.主体结构
      2. 2.一个小程序页面由四个文件组成,分别是:
      3. 3.项目整体目录结构
    4. 小程序抓包-Proxifier&BurpSuite联动
    5. 小程序逆向-解包反编译&动态调试&架构

信息打点-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构

小程序获取-各大平台&关键字搜索

  • 微信
  • 百度
  • 支付宝
  • 抖音头条等

小程序体验-凡科建站&模版测试上线

测试:https://qz.fkw.com/

参考:https://blog.csdn.net/qq_52445443/article/details/122351865

小程序结构

1.主体结构

小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。

一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,

文件 必需 作用

app.js 是 小程序逻辑

app.json 是 小程序公共配置

app.wxss 否 小程序公共样式表

2.一个小程序页面由四个文件组成,分别是:

xxx.js 页面逻辑 负责处理的文件(路径)

xxx.json 页面配置 配置接口地址

xxx.wxml 页面结构 源码,类似于html

xxx.wxss 页面样式 与css相似,美化文件,不太重要

3.项目整体目录结构

pages 页面文件夹

index 首页

logs 日志

utils

util 工具类(mina框架自动生成,你也可以建立一个: api)

app.js 入口js(类似于java类中的main方法)、全局js

app.json 全局配置文件

app.wxss 全局样式文件

project.config.json 跟你在详情中勾选的配置一样

sitemap.json 用来配置小程序及其页面是否允许被微信索引

小程序抓包-Proxifier&BurpSuite联动

  • 对抓到的IP或域名进行Web安全测试
  • 对抓到的IP或域名进行API安全测试
  • 对抓到的IP或域名进行端口服务测试

小程序逆向-解包反编译&动态调试&架构

解包反编译–>得到源码(可能不完整)–>导入微信开发者工具,进行调试

对源码架构进行分析

  • 更多的资产信息
  • 敏感的配置信息key等
  • 未授权访问测试
  • 源码中的安全问题

工具:https://github.com/wux1an/wxapkg

1
wxapkg_1.5.0_windows_amd64.exe unpack -o unpacked_output -r "D:\WeChat Files\Applet\wxd61feb5cec75e5e2"

©2017 十二亿七千光年

Built with Hexo and 3-hexo theme