长亭百川云 - 文章详情

使用Burpsuite对小程序的接口抓包分析

毕方安全实验室

102

2024-07-13

目前微信PC版可以打开小程序了,也就为微信小程序的抓包提供了便利,毕竟客户端可用的辅助软件太多了。微信app对运行的环境,如模拟器、VirtualXposed等虚拟空间进行了检测限制,因此无法使用信任证书、Xposed的插件JustTrustMe和TrustMeAlready对小程序接口进行抓包。

本文提供一种实测可用的靠谱方法,帮助安全工程师进行移动端微信小程序api接口的安全测试和分析,整体流程如图:

查看小程序接口域名和对应的IP

手机打开小程序,小程序-->更多资料,可以看到小程序的开发者和相关的数据提供接口,ping接口对应的域名,查看域名绑定的服务器或CDN ip地址,并记录。

修改电脑Hosts

修改电脑Hosts文件,将小程序接口的域名绑定到127.0.0.1上,如图:

Burpsuite设置

1、Proxy-->Options-->Proxy Listeners设置代理,指向443端口。微信小程序的接口要求使用https,如果是其它使用http的客户端应用,代理端口指向80,Bind to addresss选择All interfaces,否则可能无法勾选设置好的代理。题外话,代理端口指向80的时候没有成功,本机也没占用80端口,不明所以。

**2、**勾选Support invisible proxying(...)

3、Project Options-->Hostname Resolution设置,输入之前获取到的微信小程序api接口的域名和域名解析的ip地址,burp将使用此设置代替计算机提供的DNS解析。

客户端访问小程序进行抓包

可通过手机分享小程序的功能页面给其它人,然后在小程序PC客户端打开,回到主页之后可对小程序的所有功能进行抓包操作。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2