网络安全之小程序抓包渗透测试流程

蒋白白

已于 2024-01-12 15:19:43 修改

阅读量869

点赞数

文章标签： web安全安全测试工具 wireshark 网络小程序

于 2023-11-04 10:24:16 首次发布

本文链接：https://blog.csdn.net/VN520/article/details/134197755

版权

小程序测试流程

分为两个方面，解包可以挖掘信息泄露问题、隐藏的接口，抓包可以测试一些逻辑漏洞、API 安全问题。两者结合起来就可以边调试边进行测试，更方便于安全测试。

搜索目标小程序

目标搜索不能仅仅局限于主体单位，支撑单位、供应商、全资子公司等都可能是入口点，所以小程序当然也不能放过它们。

小程序主体信息确认

查看小程序账号主体信息，否则打偏了花费了时间不说，还可能有法律风险。

点更多就能看到小程序相关信息

小程序包获取

PC 端

首先在微信中搜索到小程序，并打开简单浏览

然后在自己微信文件保存路径下找到 applet 下找到该小程序包，可以通过时间或者小程序的 appid 快速定位到目标包

微信电脑端小程序包存在加密，需要使用工具进行解密

windows 端获取小程序包流程

打开解密工具，在工具目录建立 wxpack 文件夹（解密后的小程序包会放在这个地方），运行工具解密需要操作的小程序包即可

移动端

找到对应目录，把包拉出来即可

安卓保存路径：/data/data/com.tencent.mm/MicroMsg/{⽤户 ID}/appbrand/pkg/

iOS 保存路径：/var/mobile/Containers/Data/Application/{程序 UUID}/Library/WechatPrivate/{⽤户 ID}/WeApp/LocalCache/release/{⼩程序 ID}/ ）

由于安卓 data 目录需要 root 权限访问，所以需要手机或模拟器 root

android 模拟器获取小程序包流程

这里我用到的是夜神模拟器，登录微信，找到小程序

方法是将复制的内容放到 mnt->shared->orther 下，就会自动同步到 PC 端，这是模拟器的共享目录

解包

工具地址：https://github.com/xuedingmiaojun/wxappUnpacker

环境安装

npm install uglify-es --savenpm install esprima --savenpm install css-tree --savenpm install cssbeautify --savenpm install vm2 --savenpm install js-beautify --savenpm install escodegen --savenpm install cheerio --save

执行 node wuWxapkg.js xxxxxx.wxapkg

不出意外应该没啥问题，但意外往往很多。node 版本问题，依赖问题等等都有可能导致解包失败，这个时候就希望懂 nodejs 的同学深入了解小程序的打包压缩逻辑，然后动手二开项目。不懂的又没打算往这方面深入研究的怎么办呢，那换一个目标呗。

调试

打开微信开发者工具，选择导入项目

导入项目后可能会出现一些代码错误，需要自己手动修改，没有错误后可以编译，之后愉快的进行调试了

记得在“本地设置”模块，勾选上“不校验合法域名”功能。

有些小程序包含第三方插件，而⼩程序插件直接在微信客户端内是⽆法搜索得到的，但我们可以通过登录⾃⼰的⼩程序微信开放平台账户在“设置” —> “第三⽅设置” —> “添加插件”中搜寻⼩程序插件。

抓包

简单来讲就是配置全局代理，让微信走全局代理。首先打开抓包工具，配置好代理，然后修改 windows 代理配置

就可以抓包分析了

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。