工具:工具Brup+Fiddler+win版本微信
注:一般可直接用brup+win版本微信进行抓包,若抓不到,可尝试用Fiddler抓包然后发给brup进行测试。
关于Fiddler抓取HTTPS数据包,可参看下面的文章:
以上设置完成后就能正常抓取HTTPS数据包了
接下来设置代理抓取小程序数据包:
Fiddler端设置代理:
Brup端设置代理:
win版本微信设置代理:
尝试抓取小程序数据包:
成功了。
#########
以下为凑字数摘取了部分ITester软件测试小栈作者写的关于小程序的测试点
#########
按功能模块测试
模块设计好的各个大类功能模块划分,然后在逐级细分,覆盖到每个功能尽可能全面的测试点。
按业务流程测试
1)小程序的业务,比如:播放、支付(支付时注意支付状态:单次授权?免密?);
2)把各个功能点串联起来形成完整的业务流程来检查;
3)同一业务员,有不同的路径来实现,每个路径都需要覆盖检查。
按数据流向测试
1)根据数据从某一端操作输入和输出流向,设计基于数据流的测试用例,输出的数据也可能成为另外一端的输入;
2)检查输入的数据是否按照代码逻辑执行正确的输出;
3)是否数据发生异常,无法输入、有输入却无任何输出、输出不正确、多余的输出其他信息等;
同一功能不同入口有效性检查测试
1)小程序在首页、列表页、详细页、其他的业务功能相关页面,都有可能存在同一个功能的入口;
2)每一个入口路径都需要覆盖检查;
交互性检查测试
1)一般而言,产生数据和功能交互变化的情况主要有这几个分类:前台与前台之间、前台与后台之间、后台与后台之间;
2)前台从F1页面提交的数据,可能需要在前台F2页面查看到,也会在对应后台的B页面查到记录;
3)后台B1页面修改或者添加的数据,对应到前台的F页面产生交互变化,后台本身的不同页面间也可能存在同一个数据的输出值;
支付测试
1)支付时的支付状态:单次授权、免密;
2)解除免密授权是否能进行支付;
3)支付时有金额、无金额、支付顺序等情况是如何处理的;
4)对于未支付的订单是如何处理的;
5)小程序没有授权支付,小程序是如何处理的;
推荐阅读
bundletool工具使用(Android aab包安装)
APP漏洞检测之静态动态安全检测APP的常见风险(值得收藏)
Google Play上架App之aab转apk和apk转aab的使用方法
Android aab包google上架避免关联下架的解决方案(App出海企业的福利)
Android App Bundle混淆加密加壳加固保护的解决方案(过Google App上架审核)
最全Android及资源混淆方法汇总(无需加固节约成本并将APP上架Google Play成功的最佳方案)
原文始发于微信公众号(哆啦安全):微信小程序抓包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论