#知识点:
1、信息收集-小程序应用-公开信息-知识产权&平台搜索
2、信息收集-小程序应用-资产信息-抓包&提取&动态调试
#小程序获取-各大平台&关键字搜索
-微信
-百度
-支付宝
-抖音头条
#微信小程序-源码架构解析
1.主体结构
小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。
一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,如下:
文件 必需 作用
app.js 是 小程序逻辑
app.json 是 小程序公共配置
app.wxss 否 小程序公共样式表
2.一个小程序页面由四个文件组成,分别是:
xxx.js 页面逻辑
xxx.json 页面配置
xxx.wxml 页面结构
xxx.wxss 页面样式
3.项目整体目录结构
pages 页面文件夹
index 首页
logs 日志
utils
util 工具类(mina框架自动生成,你也可建立:api)
app.js 入口js(类似于java类中的main方法)、全局js
app.json 全局配置文件
app.wxss 全局样式文件
project.config.json 跟你在详情中勾选的配置一样
sitemap.json 用来配置小程序及其页面是否允许被微信索引
#信息收集-小程序抓包-Proxifier&BurpSuite联动
1、抓包工具的证书要安装到系统的受信任和中间两个地方
2、Proxifier规则设置里面一定要确定默认规则没有走代理
-对抓到的IP或域名进行Web安全测试
-对抓到的IP或域名进行API安全测试
-对抓到的IP或域名进行端口服务测试
#信息收集-小程序逆向-解包反编译&动态调试&架构
对源码架构进行分析
-更多的资产信息
-敏感的配置信息
-未授权访问测试
-源码中的安全问题
- GitHub - r3x5ur/unveilrContribute to r3x5ur/unveilr development by creating an account on GitHub.
https://github.com/r3x5ur/unveilr - GitHub - Ackites/KillWxapkg: 自动化反编译微信小程序,小程序安全评估工具,发现小程序安全问题,自动解密,解包,可还原工程目录,支持Hook,小程序修改自动化反编译微信小程序,小程序安全评估工具,发现小程序安全问题,自动解密,解包,可还原工程目录,支持Hook,小程序修改 - Ackites/KillWxapkghttps://github.com/Ackites/KillWxapkg
- GitHub - biggerstar/wedecode: 全自动化,微信小程序 wxapkg 包 源代码还原工具, 线上代码安全审计全自动化,微信小程序 wxapkg 包 源代码还原工具, 线上代码安全审计. Contribute to biggerstar/wedecode development by creating an account on GitHub.https://github.com/biggerstar/wedecode
- GitHub - eeeeeeeeee-code/e0e1-wx: 微信小程序辅助渗透-自动化微信小程序辅助渗透-自动化. Contribute to eeeeeeeeee-code/e0e1-wx development by creating an account on GitHub.https://github.com/eeeeeeeeee-code/e0e1-wx
- 微信开发者工具(稳定版 Stable Build)下载地址与更新日志 | 微信开放文档微信开发者平台文档https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
