微信小程序渗透测试全攻略、抓包解密+源码逆向+漏洞挖掘

本文分为三部分，第一部分涵盖了微信小程序渗透前置知识，第二部分讲述小程序渗透常用方法，第三部分讲述小程序实践挖掘技巧。

0x01 前置知识

为什么要使用小程序？

小程序相较于APP来说：

• 对用户具有：无需安装，多终端适配，占用内存小等优点
• 对创作者有：适合初创团队，试错成本低，需要较少时间和资金投入优点

0x02 架构分析

整个小程序框架系统分为两部分：逻辑层（App Service）和 视图层（View）。小程序提供了自己的视图层描述语言 WXML 和 WXSS，以及基于JavaScript 的逻辑层框架，并在视图层与逻辑层间提供了数据传输和事件系统，让开发者能够专注于数据与逻辑。

视图层由 WXML 与 WXSS 编写，由组件来进行展示。将逻辑层的数据反映成视图，同时将视图层的事件发送给逻辑层。

逻辑层主要的组成部分是由 app.js、app.json、js 文件、json 配置文件等组成，因此测试过程中主要分析的对象就是这一些。

0x03 渗透常用方法

小程序抓包

先介绍一种常规的方式，这里讲的是windows微信用户，通过Proxifier(文中所有工具均在文末)把微信小程序的流量转发到Burpsuite，先确定Burpsuite是可以抓取到正常网页的数据包的

Proxifier配置

设置代理服务器

要与Burpsuite设置的代理相同

设置代理规则

WeChat.exe;WeChatAppEx.exe;WeChatPlayer.exe;WechatBrowser.exe;WeChatAppEx*.exe

上述配置不止可以抓取小程序的数据包，还可以抓微信内置游览器的数据包