虽然是简单的widget scramp方式,但最近的微信更新具有支持在电脑版微信中打开widget的特性。 以下是官方更新公告和下载地址。
Mac版: https://developers.weixin.QQ.com/community/develop/0008 ce7EB 870022 c 4b 917 E6 D5 b 009
Windows版: https://developers.weixin.QQ.com/mini program/dev/dev tools/PC-dev.html
但这还是内测版,还没有正式发布,很多人还不知道。
如果可以在电脑版微信上打开小程序,那么小程序的捕获和测试就变得方便了。
操作流程步骤一:安装内测版微信
根据上面显示的链接,安装支持系统版本的内测版微信。
步骤二
这里以Burpsuite为例。 打开时,默认情况下正在接收本地8080端口。
步骤三:配置系统代理
这里只以Mac系统为例,Windows系统也是同样的方法。 请大家自己学习。 打开系统首选项,找到网络,然后选择高级选项。
如果选中“代理”面板,将显示web代理(HTTP )和安全web代理(HTTPS )设置。 将两个代理服务器都更改为步骤2中的IP和端口,如下所示:
此系统配置已完成。 可以开始测试
步骤四:开始挖洞
用手机发送小程序给自己,打开小程序:
回到Burpsuite,你会发现你成功抓住了包:
最后,Web测试往往已经被很多人参与,相反,小程序和APP往往被遗忘,被遗忘往往最容易出现安全风险。 在最近的项目中,有一个小程序的测试项目,已经挖了很多洞。