金华建设工程网站,怎么白嫖免费的域名,做电力公司网站,可做实名认证的网站免责声明#xff1a;本文章仅用于交流学习#xff0c;因文章内容而产生的任何违法未授权行为#xff0c;与文章作者无关#xff01;#xff01;#xff01; 附#xff1a;完整笔记目录~ ps#xff1a;本人小白#xff0c;笔记均在个人理解基础上整理#xff0c;…免责声明本文章仅用于交流学习因文章内容而产生的任何违法未授权行为与文章作者无关 附完整笔记目录~ ps本人小白笔记均在个人理解基础上整理若有错误欢迎指正
四、小程序信息收集
引子本章对常见的小程序信息收集方式做一介绍。小程序种类收集 收集方式与App种类收集大差不差。 通过在线平台获取目标小程序资产信息如小蓝本https://sou.xiaolanben.com/pc 以小米为例 不过需要注意的是几乎所有在线平台信息库都会存在误报未收录的可能需要测试者进行额外判断。搜索各提供小程序服务的平台如WX搜索小程序等。 例子同上 敏感信息收集 与App敏感信息收集相似旨在收集由小程序源码所泄露的敏感信息如key、url、ip等。 抓包 触发小程序功能点拦截数据包并通过数据包分析获取其可能存在的敏感信息。PC端WX小程序抓包方式详见https://www.cnblogs.com/sjjjjer/p/18575053 使用小迪上课案例 反编译正则手工 将缓存在PC的小程序文件反编译为源码再借助各平台提供的小程序开发者IDE通过源码正则手工获取所泄露的敏感信息。 PC端WX小程序缓存文件默认路径 小程序反编译工具推荐工具一https://github.com/Ackites/KillWxapkg 例子同上 除了正则匹配敏感信息外也可将反编译后的源码导入WX开发者工具进行手工收集。 工具二https://github.com/eeeeeeeeee-code/e0e1-wx 例子同上 相较于第一款两款工具能实现的功能差不多都包括反编译正则hook等。不过第二款工具在使用时更方便一些无需输入过多指令参数且默认匹配敏感信息默认匹配规则相较第一款更全。个人更推荐第二款不过需要注意的是这两款工具针对目标仅为WX小程序。
