app 模拟器抓包 burpsuite_使用Burpsuite对小程序的接口抓包分析

最新推荐文章于 2024-05-28 16:21:30 发布
最新推荐文章于 2024-05-28 16:21:30 发布
阅读量2.2k 收藏 5
点赞数
文章标签: app 模拟器抓包 burpsuite send成功但是抓包没数据

目前微信PC版可以打开小程序了,也就为微信小程序的抓包提供了便利,毕竟客户端可用的辅助软件太多了。微信app对运行的环境,如模拟器、VirtualXposed等虚拟空间进行了检测限制,因此无法使用信任证书、Xposed的插件JustTrustMe和TrustMeAlready对小程序接口进行抓包。

本文提供一种实测可用的靠谱方法,帮助安全工程师进行移动端微信小程序api接口的安全测试和分析,整体流程如图:

a97ab241ba6044080f08bd7e6d225173.png

查看小程序接口域名和对应的IP

手机打开小程序,小程序-->更多资料,可以看到小程序的开发者和相关的数据提供接口,ping接口对应的域名,查看域名绑定的服务器或CDN ip地址,并记录。

修改电脑Hosts

修改电脑Hosts文件,将小程序接口的域名绑定到127.0.0.1上,如图:

610925e997767ff1ef37f7d616c9233b.png

Burpsuite设置

1、Proxy-->Options-->Proxy Listeners设置代理,指向443端口。微信小程序的接口要求使用https,如果是其它使用http的客户端应用,代理端口指向80,Bind to addresss选择All interfaces,否则可能无法勾选设置好的代理。题外话,代理端口指向80的时候没有成功,本机也没占用80端口,不明所以。

d6041a2bb79328ed86ccddb2c87fe3a3.png

2、勾选Support invisible proxying(...)

c09d0dec674d9f2d0f117b96f3f185b9.png

3、Project Options-->Hostname Resolution设置,输入之前获取到的微信小程序api接口的域名和域名解析的ip地址,burp将使用此设置代替计算机提供的DNS解析。

f8a5fc2daea3b0747f191ad99de63e73.png

客户端访问小程序进行抓包

可通过手机分享小程序的功能页面给其它人,然后在小程序PC客户端打开,回到主页之后可对小程序的所有功能进行抓包操作。

4995a269c18d8553b58b4d6b86134d8f.png

6d00353c09698c6782b47c656c0c72e8.png

weixin_39722563
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Burp Suite软件取https,并分析
longanquan的博客
07-22 772
使用Burp Suite软件取https,并分析 环境准备 使用Windows7虚拟机,在win7虚拟机上安装Firefox浏览器,并安装burp suite软件 证书获取 证书下载 在http://burp上下载证书,可以在物理机上下载(复制到虚拟机上),也可以在虚拟机上下载。 证书导入 我们需要将下载好的证书导入到Firefox浏览器上。 打开Firefox浏览器—菜单—选项—隐私与安全(如图所示) 下拉在证书下点击查看证书,这里注意在服务器选项卡下不能导入可以在证书颁发机构选项卡导入下载好的证书
使用burpsuite对移动app分析
weixin_30527323的博客
01-23 296
测试移动APP的联网请求,需要获取路径或者参数的时候,使用该工具burpsuite非常方便!要求:移动终端和PC处于同一个wlan环境下第一步:获取本地地址,cmd-->ipconfig如下图第二步:配置手机联网参数1.选择"代理设置"为"手动"如下图2. 设置主机名为电脑ip地址,端口自己设定如下图第三步:配置burpsuiteProxy-->Opti...
安全性测试Burp Suite详解:Web接口测试
最新发布
weixin_44767199的博客
05-28 532
Burp Suite Web接口参数测试。
burpsuite数据分析
heyingcheng的博客
04-16 1071
POST请求 被的文件 http协议是1.1。#user-agent是浏览器的标识。#POST数据的具体内容。
推荐一款超棒的分析工具 - Burp Suite
伤心的辣条
06-06 1655
本篇文章我们聊聊一款超级好用的分析工具,即:Burp SuiteBurp Suite,简称 BP 工具,一般作为渗透测试工具,是一款用于攻击 Web 应用程序的集成平台主要功能模块含:Proxy 模块、数据拦截及数据修改Target 模块Site map 站点记录及分析Intruder 模块暴力破解Repeater 模块重放工具Decoder 模块编/解码工具Comparer 模块内容比对官网地址:https://portswigger.net/burp根据系统类型,下载对应版本的 BP 应用软
burpsuit+天天模拟器(手机app数据
weixin_34120274的博客
08-14 377
不谈理论,理论自己百度实际操作安装材料天天模拟器burpsuit神器正在联网的IP安装步骤获取ip直接命令提示符输入ipconfig获取ip天天模拟器设置将代理设置为手动填上刚才的ip及设置代理端口burpsuit设置代理端口就是上面填的端口验证打开百度进行搜索以及观察burp成功取结语后面的自由发挥,改测试,观察等。。。。。 转载于:https:/...
安卓APP测试之使用Burp Suite实现HTTPS方法
09-03
Burp Suite是一款强大的网络安全工具,特别适用于HTTP和HTTPS协议的分析。在本文中,我们将深入探讨如何利用Burp Suite来使用HTTPS协议的安卓APP的数据。 首先,我们需要明确测试环境的构建。一个未...
burpsuite_pro_v2.0.11资源
05-31
套装的burpsuite_pro_v2.0.11,压缩内,含有汉化软件,破解burpsuite_pro_v2.0.11主程序,还有中文手册。一个全都含了。
burpsuite_pro_v1.5.18.zip
07-08
burpsuite_pro_v1.5.18.zip,渗透必备
burpsuite_pro_v1.7.32 网络渗透http,https修改工具
10-10
Burp suite是一款集成型渗透测试工具,是用于攻击web应用程序的集成平台,含了许多工具。注册机和主程序都含在压缩里面了,只要修改run.bat下的java路径为你的最新jre路径即可启动。windows可用!
burpsuite_community_windows-x64_v2020_12.exe
01-04
burpsuite_community_windows-x64_v2020_12.exe
Burp Suite网络工具详解.zip
12-12
Burp Suite网络工具详解.zip 使用Burp Suite截获网卡上的网络数据() 1监听HTTP 2发送POST请求 3暴力破解 4payloads功能
Burp Suite讲解
热门推荐
Accompany的博客
11-27 2万+
目录Burp Suite安装介绍Burp Suite 工具概述设置代理信息的基本操作HTTPS的证书设置 Burp Suite安装 介绍 Burp Suite是一款集成化的渗透测试工具,含了许多功能,可以帮助我们高效地完成对web应用程序的渗透测试和攻击。 由Java语言编写,执行程序是Java文件类型的jar文件,免费版可在官网下载。 环境 运行时依赖JRE,需提前安装Java环境。 百度JDK下载即可。 (打开cmd,输入Java-version,便可查看版本信息) 环境变量配置
学习笔记(二)burpsuite典型测试分析
MR_SJ的博客
05-10 274
典型测试流程分析 1、设置burp代理(proxy),拦截并显示浏览器上的静态与动态数据。 2、通过历史代理或被动爬取的目标站点地图分析攻击面。 3、可以对既有的站点地图进行主动爬取信息,利用intruder进行个性化爆破。 4、由proxy进行被动扫描,对扫描结果进行重放、爆破和序列健壮性分析。 5、在浏览器中对扫描出的漏洞进行验证或测试。 图片来源自网络,侵删。 ...
使用Burpsuite对http头部进行分析
weixin_52347768的博客
04-14 3322
POST与GET的区别 GET: GET把参数含在URL中 GET请求在URL中传送的参数是有长度限制的 GET产生一个TCP数据,浏览器会把http header和data一并发送出去,服务器响应200(返回数据) GET会被浏览器进行主动缓存 POST: POST通过request body传递参数 POST请求在URL中传送的参数是没有长度限制的 POST产生两个TCP数据,浏览器先发送header,服务器响应100 contin...
使用Charles在Mac上解析微信小程序接口数据
xiaosha799的博客
01-11 3655
本文详细介绍如何在Mac电脑上使用Charles工具进行微信小程序后台项目的分析
如何用burpsuite
YUK_103的博客
10-13 1658
首先:使用火狐浏览器,并下载插件proxy 点击上图右边的按钮并选择附加组件 查询并下载插件 配置代理 点击options,然后add 需要时点击绿色的就行了 burpsuite 首先我们来到proxy界面 在开启插件代理 和 intercept is on 的情况下点击某个链接即可取数据 需要改的话可以直接在这里修改后直接forward或者同时按ctrl 和 r在下图...
Burp Suite微信小程序、网页数据实践
爱发梦的小赤佬的博客
10-21 3630
上一个章节记录了破解版的Burp Suite的安装与环境配置,这章节记录一下使用Burp Suite实操微信小程序与网页的数据信息。想了解如何安装配置Burp Suite,可以看一下我上一个章节的文章。
看完即会,取微信小程序数据教程
caixiangting的博客
07-26 1291
在给VIP学员答疑的时候,有很多小伙伴问到能不能取到微信小程序数据呢?
雷电模拟器burpsuite
08-08
抱歉,我无法提供关于雷电模拟器和Burp Suite的具体教程。不过,我可以给你一些一般性的指导。 首先,你需要确保你已经正确安装了雷电模拟器和Burp Suite。然后,按照以下步骤进行设置: 1. 在雷电模拟器中,打开设置(一般是点击右上角的齿轮图标)。 2. 找到网络设置,并将网络连接方式设置为桥接模式。 3. 在电脑上打开Burp Suite,并配置代理。在Burp Suite的"Proxy"选项卡中,点击"Options"按钮。 4. 在"Proxy Listeners"下,点击"+"按钮添加一个新的代理监听器。确保监听器的端口号与雷电模拟器中设置的代理端口号一致(默认是8888)。 5. 在雷电模拟器中,打开浏览器或应用程序,并访问你想要的目标网站或应用。 6. 返回Burp Suite,你应该能够看到发送和接收的网络请求。你可以通过"Proxy"选项卡的"Intercept"功能来控制请求的发送。 7. 如果你想查看具体的请求和响应内容,可以在Burp Suite的"Proxy"选项卡下的"HTTP history"中查找。 请注意,使用Burp Suite进行可能涉及到法律和道德问题,请确保你遵守适用的法律法规,并且只在合法和授权的范围内使用。此外,确保你已获得相关网络应用的所有者的明确授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值