小程序信息收集（小迪网络安全笔记~

免责声明：本文章仅用于交流学习，因文章内容而产生的任何违法&未授权行为，与文章作者无关！！！
附：完整笔记目录~
ps：本人小白，笔记均在个人理解基础上整理，若有错误欢迎指正！

四、小程序信息收集

1. 引子：本章对常见的小程序信息收集方式做一介绍。
2. 小程序种类收集
   收集方式与App种类收集大差不差。
   1. 通过在线平台获取目标小程序资产信息，如小蓝本：https://sou.xiaolanben.com/pc
      以小米为例：
      
      不过需要注意的是，几乎所有在线平台信息库都会存在误报&未收录的可能，需要测试者进行额外判断。
   2. 搜索各提供小程序服务的平台，如WX搜索小程序等。
      例子同上：
      
3. 敏感信息收集
   与App敏感信息收集相似，旨在收集由小程序源码所泄露的敏感信息，如key、url、ip等。
   1. 抓包
      触发小程序功能点，拦截数据包，并通过数据包分析&获取其可能存在的敏感信息。PC端WX小程序抓包方式，详见：https://www.cnblogs.com/sjjjjer/p/18575053
      使用小迪上课案例：
      
   2. 反编译&正则&手工
      将缓存在PC的小程序文件反编译为源码，再借助各平台提供的小程序开发者IDE，通过源码正则&手工获取所泄露的敏感信息。
      PC端WX小程序缓存文件默认路径：
      
      小程序反编译工具推荐，工具一：https://github.com/Ackites/KillWxapkg
      例子同上：
      
      除了正则匹配敏感信息外，也可将反编译后的源码导入WX开发者工具进行手工收集。
      
      工具二：https://github.com/eeeeeeeeee-code/e0e1-wx
      例子同上：
      
      相较于第一款，两款工具能实现的功能差不多，都包括反编译&正则&hook等。不过第二款工具在使用时更方便一些，无需输入过多指令&参数，且默认匹配敏感信息，默认匹配规则相较第一款更全。个人更推荐第二款，不过需要注意的是，这两款工具针对目标仅为WX小程序。