思维导图
见 12信息打点
知识点:
- 24、Web&备案信息&单位名称中发现小程序
- 25、小程序资产静态提取&动态抓包&动态调试
解决:
1、如何获取到目标小程序信息
2、如何从小程序中提取资产信息
章节点
- Web:语言/CMS/中间件/数据库/系统/WAF等
- 系统:操作系统/端口服务/网络环境/防火墙等
- 应用:APP对象/API接口/微信小程序/PC应用等
- 架构:CDN/前后端/云应用/站库分离/OSS资源等
- 技术:JS爬虫/敏感扫描/目录爬虫/源码获取/接口泄漏等
- 技术:指纹识别/端口扫描/CDN绕过/WAF识别/Github监控等
- 技术:APK反编译/小程序解包反编译/动态调试APP&小程序等
小程序获取-各大平台&关键字搜索
-微信
-百度
-支付宝
-抖音头条
小程序体验-凡科建站&模版测试上线
测试:https://qz.fkw.com/
参考:https://blog.csdn.net/qq_52445443/article/details/122351865
- 1.主体结构
小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。
一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,如下:1
2
3
4文件 必需 作用
app.js 是 小程序逻辑
app.json 是 小程序公共配置
app.wxss 否 小程序公共样式表 - 2.一个小程序页面由四个文件组成,分别是:
1
2
3
4xxx.js 页面逻辑
xxx.json 页面配置
xxx.wxml 页面结构
xxx.wxss 页面样式 - 3.项目整体目录结构
1
2
3
4
5
6
7
8
9
10pages 页面文件夹
index 首页
logs 日志
utils
util 工具类(mina框架自动生成,你也可以建立一个:api)
app.js 入口js(类似于java类中的main方法)、全局js
app.json 全局配置文件
app.wxss 全局样式文件
project.config.json 跟你在详情中勾选的配置一样
sitemap.json 用来配置小程序及其页面是否允许被微信索引
小程序抓包-Proxifier&BurpSuite联动
-对抓到的IP或域名进行Web安全测试
-对抓到的IP或域名进行API安全测试
-对抓到的IP或域名进行端口服务测试
小程序逆向-解包反编译&动态调试&架构
对源码架构进行分析
-更多的资产信息
-敏感的配置信息
-未授权访问测试
-源码中的安全问题
-小程序多功能组手
复杂操作:https://www.cnblogs.com/oodcloud/p/16964878.html
简单工具:http://xcx.siqingw.top/
-微信官方开发工具
https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html