小程序抓包测试的优选方法

已于 2023-08-01 09:57:28 修改
阅读量499 收藏 1
点赞数
分类专栏: web安全评估 文章标签: 小程序
于 2023-08-01 09:44:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_48421613/article/details/132035073
版权
本文指导如何使用Fiddler拦截PC端微信小程序流量并配合Burpsuite进行抓包测试,包括证书导入、代理设置以及注意事项,如推荐使用特定版本的模拟器以避免封号风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近有好兄弟像我请教,关于wx小程序应该怎么抓包测试,他想用Proxifier + Burpsuite联动的方式进行抓包,但是抓到的包不对劲,于是乎就有了这篇文章

今日的文章,我们主要讲的是,如何使用fiddler拦截PC端的小程序流量,而后使用Burpsuite进行抓包测试,关于如何使用模拟器进行抓包,本人在优快云是有往期文章的,大家感兴趣的可以看一下;搭建虚拟机测试环境是很快的,本人亲测,只需要5分钟就可以搞定,但是需要注意的是,推荐使用模拟器安卓5版本的虚拟机,微信app的版本不要高于8.26,否则有封号的风险​
链接: https://blog.youkuaiyun.com/weixin_48421613/article/details/109951567

Fiddler和Burpsuite是什么,我在这里也就不需要过多介绍了,下载的话大家自行下载即可,这里直接讲如何使用,如何联动

首先我们打开fiddler,页面如下图所示

在这里插入图片描述
笔者使用的版本较老,但是能用就行,Fiddler默认的代理端口是8888,但是与以往不同的是,我们不需要在微信客户端上做代理设置
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

选择第一项,将证书导入,即可完成对https抓包的设置
在这里插入图片描述

在这里插入图片描述
此时,Fiddler设置部分就结束了,接下来就是最重要的部分,如何抓包
正如你所看到的那样,只需要点击File->Capture Traffic 即可抓包
在这里插入图片描述
我们此时打开微信任意小程序,看一下效果
在这里插入图片描述
接下来,就是看一下Burpsuite这边是否可以接收到Fiddler的流量了,我们上面也讲了,在Fiddler设置了Burpsuite的代理,我们看一下效果
在这里插入图片描述
Burpsuite成功的接收到了流量,并且可以发包重放
在这里插入图片描述
这种玩法除了适用于VX客户端的小程序抓包,同样适用于C/S架构走HTTP流量的场景,在这里就不进行演示了​

Get Offer —— 渗透测试岗试题汇总(Web相关知识点)
Boom!脑洞大爆炸的博客
07-21 6002
一篇文章了解Web知识点
渗透测试面试题
热门推荐
千寻的博客
12-31 11万+
渗透测试面试题 一.思路流程 1.信息收集 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等) 网站指纹识别(包括,cms,cdn,证书等),dns记录 whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等) 子域名收集,旁站,C段等 google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等 扫描网站目录结构,爆后台,网站banner,测试文件,...
微信小程序抓包教程(亲测可用)
sun19931127的博客
02-20 1万+
微信小程序手机抓包方案
Web安全和渗透测试有什么关系?
Python_0011的博客
03-31 2605
做渗透测试的一个环节就是测试web安全,需要明白漏洞产生原理,通过信息收集互联网暴露面,进行漏洞扫描,漏洞利用,必要时进行脚本自编写和手工测试,力求挖出目标存在的漏洞并提出整改建议,当然如果技术再精一些,还要学习内网渗透(工作组和域环境),白盒审计,app,小程序渗透那些了......可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。总之,web安全包含于渗透测试,但不是渗透测试的全部。
APP、PC客户端抓包小程序\公众号
最新发布
lza20001103的博客
04-23 1355
APP、PC客户端抓包小程序\公众号
看完即会,抓取微信小程序数据包教程
主要分享测试的学习资源,帮助快速了解测试行业,帮助想转行、进阶、小白成长为高级测试工程师。
07-08 1万+
最近有很多小伙伴问到能不能抓取到微信小程序数据呢?答案当然是肯定的,通过Fiddler或者Charles这些主流的抓包工具都可以抓得到,在IOS平台抓取微信小程序和https请求都是一样的设置,接下来给大家通过Fiddler演示如何设置在IOS平台端抓取小程序数据包(Charles也是类似)。一般电脑和移动端设备连接到同一个WiFi热点(路由器),就可以保证是在同一局域网中,这里我们可以通过手机设置->无线局域网->选择对应热点,查看设备IP地址:在电脑端通过ping命令去检测下电脑是否能够连接IOS设备:
渗透测试之电脑(PC)端小程序抓包教程(建议收藏)
youmaob的博客
01-23 6153
渗透测试之电脑(PC)端小程序抓包教程(建议收藏)
Fiddler抓取PC端微信小程序请求方法
xiaocheetah的博客
07-18 1万+
最近PC端的微信更新了,在微信中也可以打开相对应的小程序了,那么对于大多数测试同学来说要是可以在PC端打开小程序直接查看小程序发出的HTTPS请求报文,那么定位问题也就太方便了吧,我就是抱着这样的一个心态来分享一下如何在PC端查看小程序的请求方法,题主亲测有效,若有不会的还请在评论区研究探讨。这个文件夹,先将电脑上的微信后台退出,记住,是退出微信,不然会提示微信正在运行中,无法删除文件夹。好了,以上就是全部的内容了,大家有什么问题想要研究讨论的欢迎在下方评论。第三步若在文件夹所在位置中找到了。......
外卖返利系统/美团/饿了么外卖CPS联盟返利公众号小程序核心源码
m0_46608046的博客
07-28 2524
我们都知道,目前两家巨头饿了么和美团点外卖都可以获得返现,其中饿了么是返利6%,美团是返利3-5%,具体要根据活动来。 也就是说按正常一个人用户点餐,你可以获得每笔外卖的CPS返利佣金,而且外卖的用户粘性极高,已经成了很多淘客的首选,不巧前段时间有客户找我分析开发了一个项目,主要是公众号和小程序(后期还说要开发APP)实现用户一次注册同步关联的跟单返利。 从核心功能方面来说,主要还是实现自动跟单返利,获得CPS交易佣金、另一个是用户角色等级的实现,例如 普通用户、团长用户和联合运营用户角色,每个角色都代表了
Python程序设计-安全渗透测试--网络嗅探与欺骗
Xunuannuan的博客
04-26 872
如果想要彻底了解一个网络,那么最好的办法就是对网络中的流量进行嗅探 在本章中将会编写几个嗅探工具,这些嗅探工具可以用来窃取网络中明文传输的密码,监视网络中的数据流向,甚至可以收集远程登录所使用的NTLM数据包(这个数据包中包含登录用的用户名和使用Hash加密的密码)。 网络数据嗅探 编写网络嗅探工具 在Scapy中提供了一种专门用来捕获数据包的函数sniff(),这个函数的功能十分强大,首先...
美团5年测试工程师分享接口自动化测试中的用例编写问题总结
程序员大白
12-17 447
测试用例是很多新人入行的“痛点之一”
APP测试 | 如何使用模拟器对APP/小程序抓包进行渗透测试
鱼溯的博客
01-08 2722
APP测试 | 如何使用模拟器对APP/小程序抓包进行渗透测试
一文解决APP+小程序+电脑端小程序抓https数据包问题
akucoco的博客
08-04 5612
最近有很多朋友问我APP和小程序应该怎么抓包,为什么抓不了https请求包,网上说法很多这里就一篇文章统一解决下大家的问题。
关于电脑端抓包小程序的3种方法,黑客技术零基础入门到精通教程!
qq_41314882的博客
12-09 993
关于电脑端小程序进行安全测试抓包的一些方法和思路,本文主要介绍3种配置思路首先设置系统代理,浏览器访问http://burp下载burp证书导入到系统 受信任的颁发机构下载完之后直接双击打开证书,并选择本地计算机选择将证书放入下列存储,并选择受信任的颁发机构然后一直下一步即可,然后安装Proxifier.exe 一直下一步即可安装成功这两个勾可以去掉,一个是开机自动启动,另外一个是更新安装完成后可以。
微信小程序抓包https抓包的血泪史
HAPP NEW JAVA
06-14 2万+
最近调试小程序发现无法使用chales抓包,为了搞清楚这个问题,找了相关资料分析了下。 在Android7.0及以上的系统中,每个应用可以定义自己的可信CA集集。 默认情况下,应用只会信任系统预装的CA证书,而不会信任用户安装的CA证书 安卓系统 7.0 以下版本,不管微信任意版本,都会信任系统提供的证书 安卓系统 7.0 以上版本,微信 7.0 以下版本,微信会信任系统提供的证书 安卓...
Fiddler 抓包PC端微信小程序设置步骤
迪之的博客
01-15 3634
例如,如果你想只查看来自 `sub.jianqiyue.cn` 的请求,可以在 `Hosts` 部分输入 `sub.jianqiyue.cn`。如果有任何进一步的问题或需要更多的帮助,请随时提问!- 在证书导入向导中,选择 `将所有证书放入下列存储`,然后选择 `受信任的根证书颁发机构`。1. 打开 Fiddler,进入 `Tools` -> `Options` -> `HTTPS`。- 选择 `将所有证书放入下列存储`,然后点击 `浏览`,选择 `受信任的根证书颁发机构`,点击 `确定`。
微信小程序抓包-夜神模拟器结合BurpSuite抓包(可用于现在最新版本微信)
动感超人的博客
09-04 1万+
即可,我看另外一个人的教程计算生成出来的结果和这个一样,可能是统一的吧。这一步好像可以跳过,直接把转换后的per证书名称改为。OpenSSL默认的安装路径我这里是。,然后安装的时候一直下一步即可。安装完成后就要配置运行环境了。安装好微信后登录自己微信。
看完即会,抓取微信小程序数据包教程_微信小程序抓包,2024年最新成功跳槽百度工资从15K涨到28K
04-14 1726
个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
(最详细)Charles+Burp+手机联动抓取WX小程序/公众号数据包
Arched的博客
01-24 1万+
Charles+Burp+手机联动抓取WX小程序/公众号数据包
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值