微信小程序渗透测试技巧-小程序解包-反编译

简述


随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。

安装手机模拟器,比如说夜神、MuMu


在这里插入图片描述

下载和安装两个应用,微信和RE文件管理器


在这里插入图片描述

获取root权限


在这里插入图片描述

打开微信,搜索相对应的小程序,然后再打开RE文件管理器,定位到目录


在这里插入图片描述

下载微信小程序反编译脚本,解包


https://github.com/xuedingmiaojun/wxappUnpacker.git

解主包:

./bingo.sh 主包.wxapkg

在这里插入图片描述
解分包:

./bingo.sh 分包.wxapkg -s=主包目录

在这里插入图片描述
合并分包内容,成功获取小程序前端源码。

基于小程序的前端源码,我们可以从JS敏感信息泄露、隐藏接口漏洞等方向进行漏洞挖掘。

版权声明:本文为作者原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

原创文章,作者:老C,如若转载,请注明出处:https://www.code404.icu/997.html

发表评论

登录后才能评论