引言

　　自2017年面世以来，微信小程序以其相较于APP的进入门槛更低，开发周期更短，费用更低的优势，已经构造了新的微信小程序开发环境和开发者生态。

　　当前，微信小程序已经赋能了社交、娱乐、旅游出行、购物、餐饮、支付、理财等多种场景。

　　但随着小程序生态的建立，其特有的安全风险也逐步显示出来：因为小程序本质也是网页交互，其通讯更容易被破解。

　　本文将从客户端和服务器两个层面讲解微信小程序渗透测试。

　　客户端层面

　　客户端方面，主要是对微信小程序进行反编译，得到源代码，检测源代码的保护强度以及是否存在信息泄露，如密钥硬编码等。

　　要进行反编译，关键是要获取小程序的 .wxapkg 文件。接下来以安卓手机为例，演示反编译的过程和需要的工具。

　　前置条件：

　　（1）一个root的安卓手机（安装RE文件管理器）；

　　（2）手机微信打开要测的小程序（打开后，微信会自动缓存小程序的.wxapkg文件）；

　　（3）一台安装了node.js运行环境的电脑（官网下载安装即可）。

　　第一步：电脑上安装反编译工具wxappUnpacker

　　gitbub下载wxappUnpacker：

　　https://github.com/58810890/wxappUnpacker。下载完成后，到wxappUnpacker目录下安装依赖：

npm install esprima 
npm install css-tree 
npm install cssbeautify
npm install vm2
npm install uglify-es
npm install js-beautify

　　安装完成后，输入如下命令查看，如正常返回，则表示成功。

　　第二步：安卓手机上打开RE文件管理器，在如下目录找到小程序的.wxapkg文件：

　　/data/data/com.tencent.mm/MicroMsg/(一长串字符串)/Appbrand/pkg

　　将对应的wxapkg文件拷贝到电脑上wxappUnpacker目录的子目录testpkg下，这个目录是自己创建的。

　　第三步：运行反编译的命令如下：

　　node wuWxapkg.js  ./testpkg/_-238827099_223.wxapkg

　　执行后，查看结果，如果出现如下信息，则表示反编译成功。

　　反编译成功后，在vs code中打开即可看到源代码。

　　服务端层面

　　在服务端层面，主要是依据微信小程序的特性，模拟攻击者从SQL注入、越权访问、文件上传、CSRF以及信息泄露等漏洞方面进行测试，这个其实与常规的web安全测试类似。

　　而测试的关键步骤就是进行微信小程序的报文抓取。

　　这里推荐使用苹果手机进行测试，原因是Android7.0以上系统、微信7.0版本及以上均不信任用户自定义安装的个人证书，所以无法抓取小程序的HTTPS报文。

　　因此，建议使用苹果设备，在设备上安装了抓包工具如Burpsuite的证书后，将其设置为根证书信任，这样就能抓取小程序的HTTP报文了。

　　第一步：打开抓包工具，设置代理IP和端口

　　第二步：在手机端的Wlan连接中，设置对应的代理IP和端口。

　　第三步：打开微信小程序，操作功能，Burpsuite进行抓包。

　　第四步：对抓到的报文进行分析， 如下面的请求报文中传了一个参数memberNo，看到这个参数一般就能想到去对参数进行篡改，看是否存在memberNo遍历、水平越权、SQL注入等等。

　　对于如下HTTP响应报文，我们也可以检测是否有多余的信息回显、敏感信息泄露等。

　　总结

　　本文从客户端和服务器两个层面讲解了微信小程序渗透测试。

　　在客户端层面，主要是通过获取小程序的wxapkg包，然后进行反编译，对源代码进行分析判断是否存在信息泄露和保护强度不足的漏洞。

　　服务端层面，主要是通过中间人攻击的方式，截获报文，篡改报文从而检测是否存在SQL注入、越权访问、文件上传、CSRF以及信息泄露等漏洞。

刘沅斌   

来源：51Testing软件测试网原创