小程序抓包测试的优选方法

最近有好兄弟像我请教，关于wx小程序应该怎么抓包测试，他想用Proxifier + Burpsuite联动的方式进行抓包，但是抓到的包不对劲，于是乎就有了这篇文章

今日的文章，我们主要讲的是，如何使用fiddler拦截PC端的小程序流量，而后使用Burpsuite进行抓包测试，关于如何使用模拟器进行抓包，本人在CSDN是有往期文章的，大家感兴趣的可以看一下；搭建虚拟机测试环境事很快的，本人亲测，只需要5分钟皆可以搞定，但是需要注意的是，推荐使用模拟器安卓5版本的虚拟机，微信app的版本不要高于8.26，否则有封号的风险

https://blog.csdn.net/weixin_48421613/article/details/109951567

Fiddler和Burpsuite是什么，我在这里也救不需要过多介绍了，下载的话大家自行下载即可，这里直接讲如何使用，如何联动

首先我们打开fiddler，页面如下图所示

笔者使用的版本较老，但是能用就行，Fiddler默认的代理端口是8888，但是与以往不同的是，我们不需要在微信客户端上做代理设置

选择第一项，将证书导入，即可完成对https抓包的设置

而后设置的就是代理地址，只需要把Burpsuite的代理地址填写即可

此时，Fiddler设置部分就结束了，接下来就是最重要的部分，如何抓包

正如你所看到的那样，只需要点击File->Capture Traffic 即可抓包

我们此时打开微信任意小程序，看一下效果

没别的意思，仅仅是演示一下抓包，保命打码哈；此时大家可以看到，我们成功的拦截到了PC客户端小程序的流量，虽然有一些杂七杂八的流量，但是整体上并不影响我们的使用

接下来，就是看一下Burpsuite这边是否可以接收到Fiddler的流量了，我们上面也讲了，在Fiddler设置了Burpsuite的代理，我们看一下效果

Burpsuite成功的接收到了流量，并且可以发包重放

这种玩法除了适用于VX客户端的小程序抓包，同样适用于C/S架构走HTTP流量的场景，在这里就不进行演示了

原文始发于微信公众号（我不懂安全）：小程序抓包测试的优选方法