小程序渗透1

微信小程序渗透测试（抓包）

考虑到微信小程序大多是外包开发，且高校的小程序部分为学生开发，相比于站点，安全性较低，尝试去对微信小程序进行渗透

这是基于安卓7.0之前
7.0之后看这里

首先准备好一个安卓模拟器，我在这里使用的是夜神模拟器

首先切换到root模式

给burpsuite加上本地IP的端口监听，如果是在虚拟机上实现，则加上对应的IP端口

打开模拟器的网络连接设置，长按WiredSSID，修改网络，进入高级设置

设置为手动代理，加上与burpsuite上相对应的IP以及端口号

从浏览器打开相应的IP以及端口，下载相应的burpsuite的证书
（这里只是为了下载相应的证书，也可以从本地下载下来，再放入到模拟器中）

下载完成后，打开模拟器自带的文件管理系统，下载的证书将在download中
这里注意！下载下来的证书很可能是灰色的，需要将后缀改为crt，der后缀文件可能存在识别错误的问题
其他问题：可能存在证书在download目录下也无法正常导入，需要将其移入其他目录（本人再这里未遇到该问题）

成功导入证书后就完成了
我们打开百度测试一下

如果提示证书安全问题看这里