微信小程序渗透测试技巧-小程序抓包-Charles

简述


抓取数据包是小程序安全测试中最关键的一步。抓包的方式有多种,比如使用Android内核版本7.0以下的模拟器,通过XPosed+JustTrustMe抓包;使用微信版本7.0以下通过Burp CA抓包。

这里分享一个比较简单的方法,使用Charles进行小程序抓包

环境准备


本机电脑开启Wifi共享,将自己手机和电脑连上同一个wifi。

Charles设置


下载地址:

https://www.charlesproxy.com/download/

第一步:配置HTTP代理


设置代理:主界面—Proxy—Proxy Settings

选择在8888端口上监听,然后确定。勾选了SOCKS proxy,还能截获到浏览器的http访问请求。
在这里插入图片描述

第二步:配置SSL代理


首先在charles的 Proxy选项选择SSL Proxy Settings
在这里插入图片描述

第三步:为手机设置代理


在手机接入电脑wifi,配置手动代理,输入安装Charles的电脑的网络地址,端口填8888。以IOS为例,在Safri上打开Charles的根证书下载网址: chls.pro/ssl ,点击允许,开始下载。

在这里插入图片描述

第四步:SSL 代理设置


在Proxy-SSL Proxying Settings,添加域名

在这里插入图片描述
到这里完成设置,通过手机访问就可以看到获取到小程序的数据包。

基于小程序的数据包,我们可以看到前后端业务交互的过程,重点关注业务逻辑漏洞、API 接口可能存在的安全漏洞。

版权声明:本文为作者原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

原创文章,作者:老C,如若转载,请注明出处:https://www.code404.icu/1000.html

发表评论

登录后才能评论