APP攻防-微信小程序&解包反编译&数据抓包&APK信息资源提取

• APP攻防-微信小程序&解包反编译&数据抓包&APK信息资源提取

  ---

  1、渗透角度：测试的app提供服务的服务器，网站，接口等，一旦这个有安全问题，被不法分子利用，相当于APP正常服务就会受到直接的影响！

  APK-白盒-Java代码审计

  APK-黑盒-资产&WEB&IP&接口等

  小程序-白盒-Node.JS代码审计

  小程序-黑盒-资产&WEB&IP&接口等

  2、开发角度：测试的app里代码的设计安全，采用没加密的发送数据，采用权限过高的设置导致攻击者利用app获取到手机的敏感信息等。

  弱加密，逻辑安全，授权，中间人等

  微信小程序-真机&模拟器数据抓包

  安卓系统抓包（微信小程序）：

  1、安卓系统7.0以下版本，不管微信任意版本，都会信任系统提供的证书

  2、安卓系统7.0以上版本，微信7.0以下版本，微信会信任系统提供的证书

  3、安卓系统7.0以上版本，微信7.0以上版本，微信只信任它自己配置的证书列表

  基于上述我们解决的方式如下：

  1、将证书安装到系统证书中（需要root）

  2、苹果手机（苹果手机不受此影响）

  3、采用安卓系统低于7.0的模拟器

  4、使用低版本电脑版微信小程序抓包

  如果真机IPhone-IOS系统微信小程序抓包

  条件：抓包本机需要和Iphone手机处于同一WIFI下

  Iphone配置wifi的代理，代理设置地址写本地抓包的工具地址和端口

  微信小程序-PC&模拟器分包反编译

  1、高富帅版：

  欢迎使用多功能小程序助手工具，点击确定开始使用。

  免责声明：不得将小程序反编译源码程序和反编译图片素材挪作商业或盈利用

  使用教程地：https://www.kancloud.cn/ludeqi/xcxzs/2607637

  最新版下载地址：https://xcx.siqingw.top/xcx.zip

  2、穷屌丝版：

  https://github.com/sanriqing/WxAppUnpacker

  -安装node.js

  http://nodejs.cn/download/

  -安装依赖：

  npm install

  -部分wxapkg还需要解密

  -模拟器取出wxapkg文件：

  /data/data/com.tencent.mm/MicroMsg/xxxxxx/appbrand/pkg

  -反编译解包

  node wuWxapkg.js -s=../ xxxx.wxapkg