信息打点-小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构
1.主体结构
小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。
一个小程序主体部分(即 app)由三个文件组成,必须放在项目的根目录,如下:
| 文件 | 必需 | 作用 |
| app.js | 是 | 小程序逻辑 |
| app.json | 是 | 小程序公共配置 |
| app.wxss | 否 | 小程序公共样式表 |
2.一个小程序页面由四个文件组成,分别是:
xxx.js 页面逻辑
xxx.json 页面配置
xxx.wxml 页面结构
xxx.wxss 页面样式
3.项目整体目录结构
pages 页面文件夹
index 首页
logs 日志
utils
util 工具类(mina 框架自动生成,你也可以建立一个:api)
app.js 入口 js(类似于 java 类中的 main 方法)、全局 js
app.json 全局配置文件
app.wxss 全局样式文件
project.config.json 跟你在详情中勾选的配置一样
sitemap.json 用来配置小程序及其页面是否允许被微信索引xiao
#小程序抓包-Proxifier&BurpSuite 联动
-对抓到的 IP 或域名进行 Web 安全测试
-对抓到的 IP 或域名进行 API 安全测试
-对抓到的 IP 或域名进行端口服务测试
#小程序逆向-解包反编译&动态调试&架构
对源码架构进行分析
-更多的资产信息
-敏感的配置信息
-未授权访问测试
-源码中的安全问题
案例:使用小程序多功能助手完成(需要花费一点米,目前免费的只能搞老版本小程序且十分复杂)
整个小助手挂了,自行在网上找相关小程序反编译教程吧,我在bilibili找了个看起来还不错的,不知道能否解决绝大数情况。附上地址:https://www.bilibili.com/video/BV17i9DBuEBv/?spm_id_from=333.1391.0.0&vd_source=060fa6f8dd7b9651caf3857e6488d19f需要安装node
还看到另一个在github上的项目:fine,好像也可以,但还没经过尝试。
使用说明:cmd 后输入wedecde ui即可。也可以使用命令,但我觉得这个更简单,懒得看命令了。
需要注意微信4.0前后版本的不同导致的小程序包所在路径不同。
\WeChat Files\Applet
\xwechat\radium\Applet\packages
访问得到
然后使用微信开发者工具,将输出结果导入,就可以方便查看其源码,其中可视化功能可以轻松查看功能点。
