安全学习DAY19_小程序信息打点

最新推荐文章于 2024-08-07 19:39:11 发布
最新推荐文章于 2024-08-07 19:39:11 发布
阅读量217 收藏
点赞数
分类专栏: 安全学习笔记_信息打点 文章标签: 安全 学习 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55977327/article/details/132509553
版权

信息打点-小程序应用&解包反编译&抓包&静态分析&源码架构

文章目录

本节知识&思维导图

请添加图片描述

1、Web&备案信息&单位名称中发现小程序

2、小程序资产静态提取&动态抓包&动态调试

解决:

1、如何获取到目标小程序信息

2、如何从小程序中提取资产信息

本节使用到的链接&工具

凡科快速制作小程序测试:

https://qz.fkw.com/

小程序开发参考

https://blog.csdn.net/qq_52445443/article/details/122351865

反编译工具 - 复杂操作(其中反编译工具收费

https://www.cnblogs.com/oodcloud/p/16964878.html

反编译工具 - 小程序多功能助手(收费,方便

http://xcx.siqingw.top/

微信开发者工具

https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html

小程序获取-各大平台&关键字搜索

获取小程序只需要直接在各大平台搜索关键字即可,如:

  • 微信

  • 百度

  • 支付宝

  • 抖音

  • 快手

  • QQ

小程序-模版测试上线&源码结构

凡科快速制作小程序测试:

https://qz.fkw.com/

小程序开发参考

https://blog.csdn.net/qq_52445443/article/details/122351865

小程序源码结构

1.主体结构

小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。

一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,如下:

文件 必需 作用

app.js 是 小程序逻辑

app.json 是 小程序公共配置

app.wxss 否 小程序公共样式表

2.一个小程序页面由四个文件组成,分别是:

xxx.js 页面逻辑

xxx.json 页面配置

xxx.wxml 页面结构

xxx.wxss 页面样式

3.项目整体目录结构

pages 页面文件夹

index 首页

logs 日志

utils

util 工具类(mina框架自动生成,你也可以建立一个:api)

app.js 入口js(类似于java类中的main方法)、全局js

app.json 全局配置文件

app.wxss 全局样式文件

project.config.json 跟你在详情中勾选的配置一样

sitemap.json 用来配置小程序及其页面是否允许被微信索引

小程序抓包-Proxifier&BurpSuite联动

小程序抓包需要使用Proxifier抓包,将数据转发至BurpSuite进行测试。

抓包目的:

  • 对抓到的IP或域名进行Web安全测试

  • 对抓到的IP或域名进行API安全测试

  • 对抓到的IP或域名进行端口服务测试

小程序逆向-解包反编译&动态调试&架构

对源码架构进行分析,目的:

  • 更多的资产信息

  • 敏感的配置信息

  • 未授权访问测试

  • 源码中的安全问题

反编译工具:

复杂操作

https://www.cnblogs.com/oodcloud/p/16964878.html

小程序多功能助手

简单工具:http://xcx.siqingw.top/

(工具收费

使用方法:打开工具,找到小程序存放的位置,直接打开,进行反编译得到反编译源码。

微信官方开发工具(反编译后打开源码调试&搜集信息

https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html

chuan川、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序学习day1-30源码
04-23
适用人群:本源码是学习微信小程序day1-30的源码,需要具备一定前端编程基础。以及想要复习或者自学微信小程序的小伙伴。开启新的征程,记录最美好的时刻,每天进步一点点。 能学到什么:1、微信小程序基础知识;2、...
C_one_question_per_day.rar_One Day_c程序
09-23
这个压缩包“C_one_question_per_day.rar”显然是为了帮助用户系统地学习和实践C语言的各个方面。 每个题目都分为三个主要部分:题目描述、程序分析和程序源代码。题目描述清晰地阐述了需要解决的问题,可能是实现...
019-信息打点-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构
wushangyu32335的博客
01-21 1254
小迪安全2023笔记
小程序助手多功能【微信小程序反编译】工具
m0_57941469的博客
12-28 1181
介绍: 小程序助手多功能微信小程序反编译工具,软件采用 VS 2017 编译,需安装.net 4.0 或以上版本方可运行,理论上 win7 、win10及以上系统 x86 x64 运行正常,条件有限未做所有测试。 node环境+Microsoft. .NET Framework 4.0或以上框架(基本上电脑都有装,如果软件能打开就不用装了) 软件功能: 1、解密小程序包 2、反编译小程序包 3、分包反编译 4、抓取小程序图片素材 软件使用说明: 1、首先在电脑端打开需要反编译的微.
小程序助手多功能微信小程序反编译工具
模板下载
04-25 363
小程序助手多功能微信小程序反编译工具,软件采用 VS 2017 编译,需安装.net 4.0 或以上版本方可运行,理论上 win7 、win10及以上系统 x86 x64 运行正常,条件有限未做所有测试。node环境+Microsoft. .NET Framework 4.0或以上框架(基本上电脑都有装,如果软件能打开就不用装了)
内网渗透思路08之常规外网打点拿下域控
划水的小白白
05-24 3693
这是一个完整的内网域渗透测试实例,从外网打到内网域控,使用技巧包括但不局限于,子域名碰撞测试 python编写渗透工具 用metasploit获取域控的ntml 明文 凭据 定位域控 制作白银票据 制作黄金票据 跨路由渗透 内网横行渗透 域控权限维持 cobaltscritke渗透内网域控等多种域渗透技巧。
day3_c语言小程序_
09-30
标题中的"day3_c语言小程序_"表明这是一个关于C语言编程的学习日程的第三天,重点是小型应用程序的开发。描述中提到的是一个用于测试学生的C语言小程序,这可能是一个教学项目,旨在帮助初学者理解C语言的基础和一些...
day3_php审计学习day1_
10-01
在PHP审计学习的第一天,我们将深入探讨PHP...这只是PHP审计学习的第一天,我们将逐步学习更多高级主题,如面向对象编程、模板引擎、安全实践等。通过持续学习和实践,你将掌握PHP编程,能够构建自己的Web应用程序。
day2_C语言程序_
10-02
在本压缩包中,我们关注的是“day2_C语言程序_”,这显然是一组与C语言编程相关的学习资源。C语言是一种广泛应用的编程语言,以其高效、灵活性和强大的系统编程能力而闻名。以下是对压缩包内各个源代码文件的详细...
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 896
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
【系统架构设计师】二十四、安全架构设计理论与实践②
帅次的博客
08-04 781
安全技术体系架构是对组织机构信息技术系统的安全体系结构的整体描述。安全技术体系架构的目标是建立可持续改进的安全技术体系架构的能力。根据网络中风险威胁的存在实体划分出5个层次的实体对象:应用、存储、主机、网络和物理。
乐凡三防平板|车载三防平板电脑:为行车安全提供保障
livefan的博客
08-05 266
1.提升行车安全:车载三防平板电脑可以实时显示车辆信息,为驾驶人员进行导航指引和路况提醒等,帮助驾驶人员更好地掌握行车情况,为行车安全提供重要保障。3.便于安装与使用:车载三防平板电脑设计紧凑、安装简便,有着多种安装固定方式,几乎可以匹配任意车载工作场所,比如叉车、堆高机、汽车、卡车等。1.防水防尘:车载三防平板电脑具备防水、防尘的性能,可以在恶劣的环境中保持正常工作。2.强大功能集成:车载三防平板电脑的功能多样,不仅具备导航、音乐、蓝牙等基本功能,还可灵活拓展NFC、航空插头接口等,以满足不同工作需求。
访问网站显示不安全怎么办?
joySSL_的博客
08-02 657
如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。网站的SSL证书过期,或者域名不匹配,解决方式是点击右上角锁头标志查看证书,检查和更新证书,确保它有效、完整。网站被举报含有钓鱼、欺诈等非法问题,解决方法是联系报告方,证明网站已安全,同时全面检查网站,清除隐患。访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
最新发布
洛秋的博客
08-07 581
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
鸿蒙系统开发【ASN.1密文转换】安全
2301_76813281的博客
08-02 690
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
兼顾智能安全,医疗电子与AI如何打通?
bigbit_LiLi的博客
08-07 591
虽然目前光子计数技术仍在开发的过程中,但我们有理由相信,在不久后的将来,随着技术的进一步发展和应用拓展,光子计数有望在全球范围内得到更广泛的应用,为人类健康事业的发展做出更大的贡献。安森美耕耘医疗行业已经有三十多年的历史,例如在专业助听器的产品化落地中,安森美解决方案集成了多核处理器、先进的音频处理算法、低功耗蓝牙模块和丰富外围接口的系列核心产品,能够实现卓越的音质、长电池寿命和无线连接功能,帮助助听器制造商打造出高质量、智能化的助听器产品,显著提升用户的听觉体验。未来,医疗电子控制器肯定会国产化。
AI技术如何重塑企业EHS安全健康环保体系,附实践案例
云说智数的博客
08-06 404
在某大型电子工厂中,AI系统通过分析生产数据和环境监测数据,成功预测了一起可能的化学泄漏事故,并及时通知了管理人员采取措施,避免了潜在的环境污染和人员伤亡。某化工厂在发生泄漏事故后,利用AI系统对事故进行了深入分析,不仅快速定位了泄漏源,还发现了操作规程中的缺陷,并据此更新了操作手册,提高了整体的安全管理水平。通过这些实际应用案例,我们可以看到AI技术在EHS管理中的应用潜力和实际效果,它不仅提高了风险管理的效率和准确性,还增强了企业对复杂EHS挑战的应对能力。
【SQL Server】端口安全配置:SQL Server的安全最佳实践与防火墙规则配置
weixin_43298211的博客
08-03 966
在进行任何网络或数据库系统的部署时,确保安全是至关重要的。SQL Server,作为企业级数据库平台,提供了丰富且强大的安全功能。使用加密连接是保护 SQL Server 通信安全的重要手段。防火墙是 SQL Server 安全的第一道防线。完成上述步骤后,Windows 防火墙将允许端口 1434 上的流量,从而确保 SQL Server 可以接收客户端连接。命令配置 SQL Server 使用证书进行加密连接。在上面的示例中,先加载必要的 PowerShell 模块,定义了证书的拇指印。
"小程序day21:WXML WXSS全局页面配置网络请求案例
通过本次小程序day21的学习,我们掌握了WXML 模板语法、WXSS 样式、全局配置、页面配置、网络数据请求等基础知识。通过实际案例的演示,我们了解了如何将这些知识应用到实际项目中,从而创建一个功能完善、美观的小...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值