小程序渗透测试的两种方法——burpsuite、yakit

已于 2024-07-05 17:36:44 修改
阅读量830 收藏 4
点赞数 16
文章标签: 小程序 web安全 安全威胁分析 安全
于 2024-07-05 17:34:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45802999/article/details/140212384
版权

首先呢主要是配置proxifier,找到小程序的流量,然后使用burpsuite或者yakit去抓包。

一、使用burpsuite+proxifier的抓包测试

1、先配置proxifier,开启http流量转发
在这里插入图片描述
勾选确定
在这里插入图片描述
2、配置burp对应代理端口,选择profile,点击proxy servers
在这里插入图片描述
新建服务器地址端口,端口对应bp设置端口
在这里插入图片描述
3、接下来设置应用程序流量代理规则,选择 Proxification Rules
在这里插入图片描述
如下图配置,命名可以为小程序,Applications内容填写小程序使用时对应的exe,Action使用刚才创建的代理服务器。
在这里插入图片描述在这里插入图片描述
这时候proxifier端就配置好了,接下来就可以配置burpsuite,然后抓包
在这里插入图片描述
4、打开bp,在bp设置代理监听处添加刚才使用的监听端口(我刚才使用的是8088端口)
在这里插入图片描述
5、随便打开一个微信小程序抓包测试,成功抓包(在测试的时候只测试一个小程序的时候就把小程序平台关掉,只留需要测试的小程序,这样可以精简抓到的包)。
在这里插入图片描述
在这里插入图片描述

二、使用yakit+proxifier

1、前期如同上边配置好proxifier,然后下载一个yakit工具
在这里插入图片描述
2、在MITM 交互式劫持中,设置监听地址和端口,劫持启动。
在这里插入图片描述
在这里插入图片描述
3、打开小程序抓包试试,成功抓包,yakit还有很多功能,自己可以去玩一下。
在这里插入图片描述

别JUAN我
关注
  • 16
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Yakit: 集成化单兵安全能力平台使用教程·MITM交互式劫持篇
大河之犬的博客
06-06 2979
如果是仅仅显示哪些,在包含文件后缀的输入框中填写显示的文件类型,同样,如果不显示哪些文件类型,只要在排除文件后缀的输入框中填写不需要显示的文件类型即可。在日常工作中,我们最常使用的是web浏览器作为web客户端。1、按照Hostname过滤 你可以在包含Hostname 输入想要仅显示的hostname,来筛选只想要看到的相关Hostname的请求。2、按照URL路径过滤 你可以在包含URL路径输入想要URL路径来匹配相关的请求,也可以在排除URL路径中输入不想要展示的URL来过滤不想要看到的请求。
微信小程序客户端渗透测试
03-14
小程序2017年面世以来,微信小程序以其相较于APP的进入门槛更低,开发周期更短,费用更低的优势,已经构造了新的微信小程序开发环境和开发者生态。 当前,微信小程序已经赋能了社交、娱乐、旅游出行、购物、餐饮、支付、理财等多种场景。 但随着小程序生态的建立,其特有的安全风险也逐步显示出来:因为小程序本质也是网页交互,其通讯更容易被破解。 我们将从客户端和服务器两个层面学习微信小程序渗透测试。 客户端方面,主要是对微信小程序进行反编译,得到源代码,检测源代码的保护强度以及是否存在信息泄露,如密钥硬编码等。 在服务端层面,主要是依据微信小程序的特性,模拟攻击者从SQL注入、越权访问、文件上传、CSRF以及信息泄露等漏洞方面进行测试,这个其实与常规的web安全测试类似。 本此主要是对客户端测试的总结,包括操作流程,所需解密工具和反编译工具
为什么国际顶级黑客大都没学过计算机专业,而是自学成才?
weixin_57514792的博客
05-29 6200
为什么国际顶级黑客大都没学过计算机专业
渗透测试之三:几款小工具
chenkaifang的博客
07-14 1121
1、BurpSuite 参考地址: https://www.cnblogs.com/qmfsun/p/5458707.html https://www.jianshu.com/p/50e496737c80 BurpSuite 是一款使用Java编写的,用于Web安全审计与扫描套件。它集成了诸多实用的小工具以完成http请求的转发/修改/扫描等,同时这些小工具之间还可以 互相协作,在Burp...
Web安全渗透测试有什么关系?
Python_0011的博客
03-31 727
渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
Burpsuite+Proxifier取exe数据包
潇湘信安的博客
06-19 1694
前几天在群里看到有师傅在问如何用Burpsuite取exe数据包的问题?所以想着写篇文章简单记录一下Burpsuite+Proxifier取exe数据包的方法
渗透测试学习笔记——BurpSuite的repeater模块
cecily044的博客
06-23 1980
简单介绍 Burp Repeater 是一个HTTP 发包模块,通常我们使用它来重放经过 Proxy的请求,可以更加方便的修改包内容以及进行测试。 使用Repeater发送请求 1.打开Burp Repeater模块,两侧文本框默认都是空的。 2.随便复制一个url(这里以https://www.baidu.com/为例),在Repeater左侧文本框右键并选择paste URL as request 这样就得到了一个发包模板 点击「Send」得到响应消息,这样我们就完成了一次简单的发包。 重放pr
官网最新版渗透测试利器BurpSuite2022
08-09
官网最新版渗透测试利器BurpSuite2022
渗透测试工具burpsuite详细使用教程
02-02
此外,我们还能通过Burp Suite、Android Killer对Android应用程序进行渗透测试。 在使用Burp Suite的过程中,我们可能还需要编写自己的插件来实现特定的功能。PortSwigger提供了官方的应用商店插件,通过这些插件...
渗透测试学习笔记——使用BurpSuite监听HTTP流量
cecily044的博客
06-17 3544
简单介绍 BurpSuite,是一个辅助渗透的工具。Burp提供了简单的HTTP的包改包,数据枚举模块,以及各种安全漏洞的手动式扫描与爬虫式扫描,还有很多经常需要使用的小工具。 Burp Suite 官网:https://portswigger.net/burp/communitydownload 代理配置 ...
使用Burpsuite精通Web渗透测试-英文版 非常好
05-20
使用Burpsuite精通Web渗透测试,英文版,原汁原味! 本资源转载自网络,如有侵权,请联系上传者或csdn删除 本资源转载自网络,如有侵权,请联系上传者。 Get hands-on experience of using Burp Suite to execute ...
【Burp入门第三十三篇】BurpSuite+Proxifier安装配置,实现微信小程序
等风来
04-26 616
本文介绍Burp+Proxifier安装配置,实现微信小程序
Proxifier与BurpSuite实现PC小程序
bytesys的博客
12-06 6390
Proxifier与BurpSuite实现PC小程序
使用 BurpSuiteYakit 进行常规渗透测试
belldeep的专栏
05-07 511
BurpSuite:攻击web应用程序的集成平台;使用 Yakit 进行常规渗透测试
apk和小程序渗透测试
m0_56578216的博客
10-16 329
将测试用的exe文件放到目录下: 使用下面命令进行扫描: 然后选择要进行渗透的apk,以峰友学堂为例,回车后进行解包:如图,解包成功,出现很多资源:目录下出现解包后的文件夹:接下来使用微信开发者工具进行代码审计,导入4文件夹并打开:点击app-service.js,找到APP的源码:在该界面Ctrl+F搜索HTTPs找它的网站地址,找到后可以对它进行访问、包等渗透测试操作:搜索api,APP中可能存在api接口的未授权:使用bp和模拟器对apk进行渗透,由于模拟器没有bp的证书,所以需要下载,打开bp,用
从burp入门yakit
u011250160的博客
11-05 949
记录下自己的投稿。
【工具分享】yakit——单兵渗透工具
最新发布
LongL_GuYu的博客
07-09 798
Yakit 是一个基于 Yak 语言的安全领域垂直语言工具,它提供了一个图形化用户界面(GUI)来操控 Yak 引擎的能力。Yakit 旨在降低使用安全工具的门槛,使得安全从业者即使没有编程技能也能轻松地进行安全测试和分析
网络安全怎么学习才好呢?
jennycisp的博客
07-02 880
搞网络安全的话,建议不要学那些乱七八糟的东西。建议:1、通信协议,包括7层协议,得搞清楚那个数据块做什么用,那个位做什么用,这点很重要李鬼可以冒充李逵。2、目前常用操作系统,建议从linux入手,都破门而入了,就不必要在乎钥匙不钥匙3、熟悉一两个开源服务程序比如apache http,nginx web等,原因是这块的漏洞多,容易受到入手4、熟悉开源数据库比如mysql等,往往用户会把对应的数据库往内网或者外网打开端口,这部分也是容易入手的。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值