实战小程序公众号解密burp插件

文章预览

一、    需求   在渗透测试web/app/小程序/公众号的时候，通过各种途径解决了burp抓包的问题。还经常碰到Request/Response的body加密的情况。这使得我们很难在burp中修改和分析它的流量。 但众所周知，加密过程是在客户端完成的，防君子不防小人。因此前端加密仅仅只是增加了改包的时间成本，只要时间够经验足，总能较快的分析出来。 整个过程的难度，基本取决于如何获取和读懂前端代码。 web ，前端就是js，一目了然。最多只会打包和开源混淆，较少商业混淆。 公众号 ，前端也是js，只是微信浏览器没有F12。 小程序 ，前端是打包在.wxapkg中的js，大概率能完整还原出来。 app ，前端是apk，保护一般比较严格，可能会加壳和商业混淆。 二、    动态调试 对于web，我们天然有着动态调试的优势，因此可以很轻松靠下断点获取加密前的数据。 而公众 ………………………………