两方面讲透什么是微信小程序渗透测试

　  引言
　　自2017年面世以来，微信小法式以其相较于APP的进入门坎更低，开辟周期更短，用度更低的上风，已经机关了新的微信小法式开辟情况和开辟者生态。
　　当前，微信小法式已经赋能了交际、文娱、旅游出行、购物、餐饮、付出、理财等多种场景。
　　但随着小法式生态的建立，其独有的平安风险也慢慢显现出来：由于小法式本质也是网页交互，其通讯更轻易被破解。
　　本文将从客户端和办事器两个层面讲授微信小法式渗透测试。

　  客户端层面
　　客户端方面，主如果对微信小法式停止反编译，获得源代码，检测源代码的庇护强度以及能否存在信息泄露，如密钥硬编码等。
　　要停止反编译，关键是要获得小法式的 .wxapkg 文件。接下来以安卓手机为例，演示反编译的进程和需要的工具。
　　前置条件：
　　（1）一个root的安卓手机（安装RE文件治理器）；
　　（2）手机微信翻开要测的小法式（翻开后，微信会自动缓存小法式的.wxapkg文件）；
　　（3）一台安装了node.js运转情况的电脑（官网下载安装即可）。
　　第一步：电脑上安装反编译工具wxappUnpacker
　　gitbub下载wxappUnpacker：
　　https://github.com/58810890/wxappUnpacker。下载完成后，到wxappUnpacker目录下安装依靠：

1. npm install esprima
2. npm install css-tree
3. npm install cssbeautify
4. npm install vm2
5. npm install uglify-es
6. npm install js-beautify

复制代码

　　安装完成后，输入以下号令检察，如一般返回，则暗示成功。


　　第二步：安卓手机上翻开RE文件治理器，在以下目录找到小法式的.wxapkg文件：
　　/data/data/com.tencent.mm/MicroMsg/(一长串字符串)/Appbrand/pkg


　　将对应的wxapkg文件拷贝到电脑上wxappUnpacker目录的子目录testpkg下，这个目录是自己建立的。



　　第三步：运转反编译的号令以下：
　　node wuWxapkg.js  ./testpkg/_-238827099_223.wxapkg


　　履行后，检察成果，假如出现以下信息，则暗示反编译成功。


　　反编译成功后，在vs code中翻开即可看到源代码。



　　办事端层面
　　在办事端层面，主如果根据微信小法式的特征，模拟进犯者从SQL注入、越权拜候、文件上传、CSRF以及信息泄露等缝隙方面停止测试，这个实在与常规的web平安测试类似。
　　而测试的关键步调就是停止微信小法式的报文抓取。
　　这里保举利用苹果手机停止测试，缘由是Android7.0以上系统、微信7.0版本及以上均不信赖用户自界说安装的小我证书，所以没法抓取小法式的HTTPS报文。
　　是以，倡议利用苹果装备，在装备上安装了抓包工具如Burpsuite的证书后，将其设备为根证手札任，这样就能抓取小法式的HTTP报文了。
　　第一步：翻开抓包工具，设备代理IP和端口。


　　第二步：在手机真个Wlan毗连中，设备对应的代理IP和端口。
　　第三步：翻开微信小法式，操纵功用，Burpsuite停止抓包。
　　第四步：对抓到的报文停止分析， 以下面的请求报文中传了一个参数memberNo，看到这个参数一般就能想到去对参数停止篡改，看能否存在memberNo遍历、水平越权、SQL注入等等。


　　对于以下HTTP响应报文，我们也可以检测能否有过剩的信息回显、敏感信息泄露等。


　  总结
　　本文从客户端和办事器两个层面讲授了微信小法式渗透测试。
　　在客户端层面，主如果经过获得小法式的wxapkg包，然落后行反编译，对源代码停止分析判定能否存在信息泄露和庇护强度不敷的缝隙。
　　办事端层面，主如果经过中心人进犯的方式，截获报文，篡改报文从而检测能否存在SQL注入、越权拜候、文件上传、CSRF以及信息泄露等缝隙。

      文章转载链接：