一种简单的小程序抓包方式

不知道大家有没有注意到，在最近微信的更新中，有一项特性是支持在电脑版微信中打开小程序。以下是官方更新公告以及下载地址：

    Mac 版本：https://developers.weixin.qq.com/community/develop/doc/0008ce7eeb870022c4b917e6d5b009

    Windows版本：https://developers.weixin.qq.com/miniprogram/dev/devtools/pc-dev.html

    不过这仍然属于内测版，还没有正式发布，所以很多人还不知道。

    如果能在电脑版微信中打开小程序，那么对小程序的抓包和测试就方便太多了。

 

操作流程

步骤一：安装内测版微信

    根据以上给出的链接，安装对应系统版本的内测版微信。

步骤二：打开抓包软件开启端口监听

    在这里以Burpsuite为例，打开后已经默认监听了本地的8080端口：

步骤三：配置系统代理

    在这里仅以Mac系统为例子，Windows系统也是差不多的方法，大家可以自行学习。打开系统偏好设置，找到网络，选择高级选项：

    选中代理面板，可以看到关于网页代理（HTTP）和安全网页代理（HTTPS）的配置，将这两项的代理服务器都修改为步骤二中的IP和端口，如下所示：

    到此系统配置已经完成了，可以开始测试啦

步骤四：开始挖洞

    在手机上将小程序发给自己，打开小程序：

    回到在Burpsuite中，可以看到已经成功抓到包了：

最后

    很多时候Web的测试已经被很多人都光顾过了，相反小程序和APP，往往是被遗忘的，被遗忘的往往是最容易出现安全风险的。在最近的项目里，有个小程序的测试项目，已经被挖了好多漏洞啦！