微信小程序抓包

admin 2022年6月10日10:48:05评论142 views字数 1445阅读4分49秒阅读模式

工具:工具Brup+Fiddler+win版本微信

注:一般可直接用brup+win版本微信进行抓包,若抓不到,可尝试用Fiddler抓包然后发给brup进行测试。


关于Fiddler抓取HTTPS数据包,可参看下面的文章:

App抓包之Fiddler配置及使用教程

以上设置完成后就能正常抓取HTTPS数据包

接下来设置代理抓取小程序数据包:

Fiddler端设置代理:


微信小程序抓包


Brup端设置代理:


微信小程序抓包


win版本微信设置代理:


微信小程序抓包

尝试抓取小程序数据包:



微信小程序抓包

成功了。


#########

以下为凑字数摘取了部分ITester软件测试小栈作者写的关于小程序测试点

#########

按功能模块测试

模块设计好的各个大类功能模块划分,然后在逐级细分,覆盖到每个功能尽可能全面的测试点。

按业务流程测试

1)小程序的业务,比如:播放、支付(支付时注意支付状态:单次授权?免密?);

2)把各个功能点串联起来形成完整的业务流程来检查;

3)同一业务员,有不同的路径来实现,每个路径都需要覆盖检查。

按数据流向测试

1)根据数据从某一端操作输入和输出流向,设计基于数据流的测试用例,输出的数据也可能成为另外一端的输入;

2)检查输入的数据是否按照代码逻辑执行正确的输出;

3)是否数据发生异常,无法输入、有输入却无任何输出、输出不正确、多余的输出其他信息等;

同一功能不同入口有效性检查测试

1)小程序在首页、列表页、详细页、其他的业务功能相关页面,都有可能存在同一个功能的入口;

2)每一个入口路径都需要覆盖检查;

交互性检查测试

1)一般而言,产生数据和功能交互变化的情况主要有这几个分类:前台与前台之间、前台与后台之间、后台与后台之间;

2)前台从F1页面提交的数据,可能需要在前台F2页面查看到,也会在对应后台的B页面查到记录;

3)后台B1页面修改或者添加的数据,对应到前台的F页面产生交互变化,后台本身的不同页面间也可能存在同一个数据的输出值;

支付测试

1)支付时的支付状态:单次授权、免密;

2)解除免密授权是否能进行支付;

3)支付时有金额、无金额、支付顺序等情况是如何处理的;

4)对于未支付的订单是如何处理的;

5)小程序没有授权支付,小程序是如何处理的;


推荐阅读

Android混淆规则

Android防逆向基础

Oo0代码混淆实现方法

Android常见投屏神器

Objection动态分析App

超实用的优质公众号推荐

学抓包就来"哆啦安全"学

Android安全测试工具大全

IDA插件辅助进行逆向分析

IDA静态动态逆向分析基础

Android应用安全方案梳理

通用Android反编译反混淆工具

IDA动态调试逆向分析Android so

加固不等于安全之APP应用更安全浅析

零基础一对一技术咨询服务(远程指导)

Andrax搭建Android手机的渗透测试平台

加密shared_prefs/xml中的内容防窃取

Android包体积优化(常规、进阶、极致)

bundletool工具使用(Android aab包安装)

APP漏洞检测之静态动态安全检测APP的常见风险(值得收藏)

Google Play上架App之aab转apk和apk转aab的使用方法

Android aab包google上架避免关联下架的解决方案(App出海企业的福利)

Android App Bundle混淆加密加壳加固保护的解决方案(过Google App上架审核)

最全Android及资源混淆方法汇总(无需加固节约成本并将APP上架Google Play成功的最佳方案)


微信小程序抓包

原文始发于微信公众号(哆啦安全):微信小程序抓包

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月10日10:48:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微信小程序抓包https://cn-sec.com/archives/1096717.html

发表评论

匿名网友 填写信息