内容介绍

今天主要讲解的内容有：

• 小程序的获取
• 小程序文件介绍
• 小程序抓包
• 小程序逆向（解包反编译&动态调试）

小程序获取-各大平台&关键字搜索

• -微信
• -百度
• -支付宝
• -抖音头条

主要的使用的小程序就是这些，尤其是微信小程序、支付宝小程序，这些是我们广泛使用的，当然部分厂商也存在QQ小程序，这些我们都可以进行尝试，说不定就存在意向不到的收获

主体结构

小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。

1.一个小程序主体部分(即app)由三个文件组成，必须放在项目的根目录，如下：

文件            必需            作用

app.js            是             小程序逻辑
app.json          是             小程序公共配置
app.wxss          否             小程序公共样式表

2.一个小程序页面由四个文件组成，分别是:

xxx.js 页面逻辑
xxx.json 页面配置
xxx.wxml 页面结构
xxx.wxss 页面样式

3.项目整体目录结构

pages 页面文件夹
index 首页
logs 日志
utils
util 工具类(mina框架自动生成,你也可以建立一个：api)
app.js 入口js(类似于java类中的main方法)、全局js
app.json 全局配置文件
app.wxss 全局样式文件
project.config.json 跟你在详情中勾选的配置一样
sitemap.json 用来配置小程序及其页面是否允许被微信索引

小程序抓包-Proxifier&BurpSuite联动

-对抓到的IP或域名进行Web安全测试

-对抓到的IP或域名进行API安全测试

-对抓到的IP或域名进行端口服务测试

这部分可以参考以前的文章：

【第6天】抓包技术详解（HTTPS协议&APP&小程序&PC应用&WEB&转发联动）

【第7天】抓包技术&全局协议&封包监听&网卡模式&APP&小程序&PC应用

小程序逆向-解包反编译&动态调试&架构

对源码架构进行分析

• -更多的资产信息
• -敏感的配置信息
• -未授权访问测试
• -源码中的安全问题
• -小程序多功能组手

复杂操作：https://www.cnblogs.com/oodcloud/p/16964878.html

简单工具：http://xcx.siqingw.top/

使用教程：https://www.kancloud.cn/ludeqi/xcxzs/2607637

-微信官方开发工具

https://developers.weixin.qq.com/miniprogram/dev/devtools/stable.html