小程序信息收集(小迪网络安全笔记~

已于 2024-12-31 22:12:24 修改
阅读量1.1k 收藏 7
点赞数 4
分类专栏: 网络安全学习笔记 文章标签: 小程序 web安全 笔记 网络安全 安全 网络
于 2024-12-31 22:06:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62040731/article/details/144858274
版权

免责声明:本文章仅用于交流学习,因文章内容而产生的任何违法&未授权行为,与文章作者无关!!!
附:完整笔记目录~
ps:本人小白,笔记均在个人理解基础上整理,若有错误欢迎指正!

四、小程序信息收集

  1. 引子:本章对常见的小程序信息收集方式做一介绍。
  2. 小程序种类收集
    收集方式与App种类收集大差不差。
    1. 通过在线平台获取目标小程序资产信息,如小蓝本:https://sou.xiaolanben.com/pc
      以小米为例:
      image-20241231200843625
      不过需要注意的是,几乎所有在线平台信息库都会存在误报&未收录的可能,需要测试者进行额外判断。
    2. 搜索各提供小程序服务的平台,如WX搜索小程序等。
      例子同上:
      image-20241231201503394
  3. 敏感信息收集
    与App敏感信息收集相似,旨在收集由小程序源码所泄露的敏感信息,如key、url、ip等。
    1. 抓包
      触发小程序功能点,拦截数据包,并通过数据包分析&获取其可能存在的敏感信息。PC端WX小程序抓包方式,详见:https://www.cnblogs.com/sjjjjer/p/18575053
      使用小迪上课案例:
      image-20241231204540058
    2. 反编译&正则&手工
      将缓存在PC的小程序文件反编译为源码,再借助各平台提供的小程序开发者IDE,通过源码正则&手工获取所泄露的敏感信息。
      PC端WX小程序缓存文件默认路径:
      image-20241231210148788
      小程序反编译工具推荐,工具一:https://github.com/Ackites/KillWxapkg
      例子同上:
      image-20241231211328868
      除了正则匹配敏感信息外,也可将反编译后的源码导入WX开发者工具进行手工收集。
      image-20241231220108751
      工具二:https://github.com/eeeeeeeeee-code/e0e1-wx
      例子同上:
      image-20241231215712058
      相较于第一款,两款工具能实现的功能差不多,都包括反编译&正则&hook等。不过第二款工具在使用时更方便一些,无需输入过多指令&参数,且默认匹配敏感信息,默认匹配规则相较第一款更全。个人更推荐第二款,不过需要注意的是,这两款工具针对目标仅为WX小程序。
2020小安全第十天笔记-(信息收集资产监控拓展
weixin_51566416的博客
12-08 5380
笔记来源视频: 【小安全web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 信息收集-资产监控拓展 目录 信息收集-资产监控拓展 #Github 监控 便于收集整理最新 exp或 poc 便于发现相关测试目标的资产 #各种子域名查询 #DNS,备案,证书 #全球节点请求 cdn #黑暗引擎相关搜索 #微信公众号接口获取 #内部群内部应用内部接(社会工程学) ·黑暗引擎(如fofa.so)实现域名接口等收集 ·全自动域名收集枚...
-网络安全-笔记(01)
Y的博客
03-13 3048
网络安全——学习笔记(01)
小程序数据采集.pptx
05-14
详细介绍了2个爬虫工具fiddler和Charles的使用过程。从安装过程到具体使用。
收集信息的表单小程序怎么做_自定义流程表单工具
最新发布
feidodoxcx的博客
02-18 623
收集信息的表单小程序怎么做_自定义流程表单工具
微信小程序资料集合
VIPshao的博客
10-27 9152
微信小程序资料集合 一:官方地址集合: 1:官方工具:https://mp.weixin.qq.com/debug/w ... tml?t=1476434678461 2:简易教程:https://mp.weixin.qq.com/debug/wxadoc/dev/?t=1476434677599 3:设计指南:https://mp.weixin.qq.com/debug/wxadoc/des
计算机信息收集小程序
dawn0718的专栏
03-14 3155
  星期一,领导安排统计公司的计算机设备以便建立台账,领导的意思是录入到EXCEL表里再进行统计分析,可是这样的话,两个地方有200多台计算机,每台计算机都需要打开计算机设备信息进行核对录入,工作量不小,关键是这个星期就要见到统计数据。   用C#写无疑最快,在C#里用它本身的类、调用API、调用注册表都可以实现,问题是编译成可执行文件到XP、Win32位、Win64位的计算机上有些麻烦,为了尽...
APP与小程序信息收集
剁椒鱼头没剁椒的博客
04-19 2696
通常在一些企业中不单单存在WEB网站可能也会存在APP软件与小程序等,这些都是为了更好的为用户提供服务,但同时也会存在很多安全问题。目前APP应用主要分为Android与iOS,但是由于苹果的iOS操作系统不是开源的,操作系统相较Android比较封闭,同时在对iOS系统进行反编译的时候会比较困难,所以一边对APP系统进行渗透测试都是在Android中进行测试。APK是Android的应用程序包,当然你说它是安装包也可以,主要就是用于分发与安全移动应用及中间件。
微信小程序资料收集(一)
weixin_30287169的博客
08-05 1036
1.微信小程序用户授权 https://blog.csdn.net/qq_34827048/article/details/77990510 https://blog.csdn.net/qq_33616529/article/details/79080141 www.51softs.com/aspnet/xiaochengxu-kaifa-shiyong-webapi-shixian-den...
2020小安全第八天笔记-(信息收集)架构,搭建,WAF 等
weixin_51566416的博客
12-05 1198
目录 信息收集-架构,搭建,WAF 等 信息收集思路图: 搜索引擎关键字搜索技巧: 站点搭建 #WAF 防护分析 演示案例: 涉及资源 笔记来源视频:【小安全web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 信息收集-架构,搭建,WAF 等 在安全测试中,信息收集是非常重要的一个环节,此环节的信息将影响 到后续的成功几率,掌握信息的多少将决定发现漏洞机会大小,换言之决定 着是否能完成目标的测试任务。也可以很直接的跟大家说:渗透测试的思路 就
2020小安全第十一天笔记-WEB漏洞基本知识
weixin_51566416的博客
03-04 4115
笔记来源视频:【小安全web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 前言: 本章节将讲解各种 WEB 层面上的有那些漏洞类型,具体漏洞 的危害等级,以简要的影响范围测试进行实例分析,思维导图中的漏洞也 是后面我们将要学习到的各个知识点,其中针对漏洞的形成原理,如何发现,如何利用将是本章节学习的重点内容! 此图中右边漏洞是重点,但是左边的漏洞也要掌握 简要知识: ...
安全学习笔记(权限提升--MySQL数据库提权)(二)
weixin_63560942的博客
03-24 1335
首先获取MySQL数据库用户密码,可以用本地连接暴力猜解,或者读取敏感文件获取,最后使用工具输入IP和账号密码端口进行连接,MySQL数据库的提权方式有UDF,MOF提权,写入.dll(动态连接库)文件提权,也可以执行反弹shell文件进行MSF连接,还有写入启动任务再用DDos攻击强制服务器重启。
信息收集小技巧1
samli的博客
03-12 379
记录一个微服务信息收集小技巧: 很多子域名打开为空白页面,或者找不到访问路径的,特别是app.xxx.com、wx.xxx.com一类,一般为微信公众号的服务,或者小程序的服务,可以到微信搜索一下关键字; 微信小程序还有一个特别的地方可以看到相关域名; 如图,打开对应小程序,按红圈标记的顺序点开,在更多资料处可以看到相关的域名,以及该微信小程序的appid; ...
小程序资源收集整理
bcat
04-18 548
小程序学习资料 查看小程序文档https://www.w3cschool.cn/weixinapp/weixinapp-media-picture.html 小程序切片视频: http://v.youku.com/v_show/id_XMzUyNTU2NzkzNg==.html?spm=a2h3j.8428770.3416059.1 小程序切片工具官网:http://www.ymznkf....
微信小程序(三十九)表单信息收集
不起眼小菜菜的博客
02-07 2563
注释很详细,直接上代码……
微信小程序获取用户简要信息
weixin_38870775的博客
03-21 2234
    因为项目的需要,研究了一下微信获取用户的简单信息,在过程中耗费了许多的时间,想发出来与大家一起分享学习,有大牛看到不足的地方也希望大家指教!    小程序:var utils = require("utils/utils"); var BaseUrl = 'http://xcx.com/api/v1'; App({ onLaunch: function (event) { //...
信息收集(重要的是思路学习,挖洞、渗透必备)
weixin_65049289的博客
04-27 1677
信息收集最全总结(建议收藏系列)
渗透学习-10-信息打点-APP&小程序篇&抓包封包&XP 框架&反编译&资产提取
2301_78897940的博客
10-09 262
=资产收集 - 资源提取 - ico文件 md5, HASH 等等 - 黑暗引擎搜索相关资产 看看有没有其他网站有类似资产。 APP-框架使用-Xposed&JustTrustMe。 APP-外在抓包-Fd&茶杯&Burp。 APP-内在搜索-反编译载入 IDEA。 小程序-微信-电脑版登录启动抓包分析。 APP-资源提取-安装包&资源文件。 APP-外在封包-封包监听工具。APP-外在&内在-资产收集小程序-外在-资产收集
APP(小程序篇)
honest_gg的博客
08-10 1112
APP:小程序篇、抓包封包、XP框架、反编译、资产提取
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值