51Testing软件测试论坛

标题: 两方面讲透什么是微信小程序渗透测试 [打印本页]

作者: lsekfe    时间: 2021-5-26 09:58
标题: 两方面讲透什么是微信小程序渗透测试
引言
  自2017年面世以来,微信小程序以其相较于APP的进入门槛更低,开发周期更短,费用更低的优势,已经构造了新的微信小程序开发环境和开发者生态。
  当前,微信小程序已经赋能了社交、娱乐、旅游出行、购物、餐饮、支付、理财等多种场景。
  但随着小程序生态的建立,其特有的安全风险也逐步显示出来:因为小程序本质也是网页交互,其通讯更容易被破解。
  本文将从客户端和服务器两个层面讲解微信小程序渗透测试。

  客户端层面
  客户端方面,主要是对微信小程序进行反编译,得到源代码,检测源代码的保护强度以及是否存在信息泄露,如密钥硬编码等。
  要进行反编译,关键是要获取小程序的 .wxapkg 文件。接下来以安卓手机为例,演示反编译的过程和需要的工具。
  前置条件:
  (1)一个root的安卓手机(安装RE文件管理器);
  (2)手机微信打开要测的小程序(打开后,微信会自动缓存小程序的.wxapkg文件);
  (3)一台安装了node.js运行环境的电脑(官网下载安装即可)。
  第一步:电脑上安装反编译工具wxappUnpacker
  gitbub下载wxappUnpacker:
  https://github.com/58810890/wxappUnpacker。下载完成后,到wxappUnpacker目录下安装依赖:
npm install esprima
npm install css-tree
npm install cssbeautify
npm install vm2
npm install uglify-es
npm install js-beautify







  安装完成后,输入如下命令查看,如正常返回,则表示成功。


  第二步:安卓手机上打开RE文件管理器,在如下目录找到小程序的.wxapkg文件:
  /data/data/com.tencent.mm/MicroMsg/(一长串字符串)/Appbrand/pkg


  将对应的wxapkg文件拷贝到电脑上wxappUnpacker目录的子目录testpkg下,这个目录是自己创建的。


  第三步:运行反编译的命令如下:
  node wuWxapkg.js  ./testpkg/_-238827099_223.wxapkg


  执行后,查看结果,如果出现如下信息,则表示反编译成功。


  反编译成功后,在vs code中打开即可看到源代码。


  服务端层面
  在服务端层面,主要是依据微信小程序的特性,模拟攻击者从SQL注入、越权访问、文件上传、CSRF以及信息泄露等漏洞方面进行测试,这个其实与常规的web安全测试类似。
  而测试的关键步骤就是进行微信小程序的报文抓取。
  这里推荐使用苹果手机进行测试,原因是Android7.0以上系统、微信7.0版本及以上均不信任用户自定义安装的个人证书,所以无法抓取小程序的HTTPS报文。
  因此,建议使用苹果设备,在设备上安装了抓包工具如Burpsuite的证书后,将其设置为根证书信任,这样就能抓取小程序的HTTP报文了。
  第一步:打开抓包工具,设置代理IP和端口


  第二步:在手机端的Wlan连接中,设置对应的代理IP和端口。
  第三步:打开微信小程序,操作功能,Burpsuite进行抓包。

  第四步:对抓到的报文进行分析, 如下面的请求报文中传了一个参数memberNo,看到这个参数一般就能想到去对参数进行篡改,看是否存在memberNo遍历、水平越权、SQL注入等等。


  对于如下HTTP响应报文,我们也可以检测是否有多余的信息回显、敏感信息泄露等。


  总结
  本文从客户端和服务器两个层面讲解了微信小程序渗透测试。
  在客户端层面,主要是通过获取小程序的wxapkg包,然后进行反编译,对源代码进行分析判断是否存在信息泄露和保护强度不足的漏洞。
  服务端层面,主要是通过中间人攻击的方式,截获报文,篡改报文从而检测是否存在SQL注入、越权访问、文件上传、CSRF以及信息泄露等漏洞。





欢迎光临 51Testing软件测试论坛 (http://bbs.51testing.com/) Powered by Discuz! X3.2