Web开发-JS应用微信小程序源码架构编译预览逆向调试嵌套资产代码审计
知识点:
1、安全开发-微信小程序-搭建&开发&架构&安全
2、安全开发-微信小程序-编译调试&反编译&泄露
一、演示案例-WEB开发-小程序-创建启动&编译预览&构建
小程序创建
1、下载微信开发者工具
https://developers.weixin.qq.com/miniprogram/dev/devtools/download.html
2、创建小程序模版引用
小程序架构
1、主体结构
小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。
一个小程序主体部分(即app)由三个文件组成,必须放在项目的根目录,如下:
文件 必需 作用
app.js 是 小程序逻辑(优先看)
app.json 是 小程序公共配置
app.wxss 否 小程序公共样式表(一般不看)
2、一个小程序页面由四个文件组成
xxx.js 页面逻辑(最重要的文件,关键的js代码)
xxx.wxml 页面结构(前端显示的html页面)
xxx.json 页面配置
xxx.wxss 页面样式(一般不关心这个,就是显示页面的颜色字体大小等作用)
3、项目整体目录结构
pages 页面文件夹
index 首页
logs 日志
utils
util 工具类(mina框架自动生成,你也可建立:api)
app.js 入口js(类似于java类中的main方法)、全局js
app.json 全局配置文件
app.wxss 全局样式文件
project.config.json 跟你在详情中勾选的配置一样
sitemap.json 用来配置小程序及其页面是否允许被微信索引
小程序开发
1、可视化
2、真机调试
3、编译预览
案例1:嵌套Web应用资产
<web-view src="http://www.xiaodi8.com"></web-view>
如果你目标的小程序就是这样的页面,那么通过反编译或者抓包都能找到这个地址,本质无非不就是对这个地址进行渗透罢了(有些大型网站会针对PC端、AAP端、小程序端进行页面适配,本质目标就是一个地址。)
案例2:嵌套第三方云服务
阿里云OSS存储-AK/SK
二、演示案例-WEB开发-小程序-反编译&架构逻辑&资产泄露
小程序安全
1、逆向反编译
https://github.com/Ackites/KillWxapkg
https://github.com/eeeeeeeeee-code/e0e1-wx