第41天：Web开发-JS应用微信小程序源码架构编译预览逆向调试嵌套资产代码审计

一、小程序创建（了解即可）

1、下载微信开发者工具

2、创建小程序模版引用

https://developers.weixin.qq.com/miniprogram/dev/devtools/download.html

二、小程序架构

1、主体结构

小程序包含一个描述整体程序的 app 和多个描述各自页面的 page。

一个小程序主体部分(即app)由三个文件组成，必须放在项目的根目录，如下：

文件 必需 作用->反编译成功后，这些关键文件重点关注查看

app.js 是 小程序逻辑

app.json 是 小程序公共配置

app.wxss 否 小程序公共样式表

2、一个小程序页面由四个文件组成，分别是:

xxx.js 页面逻辑

xxx.json 页面配置

xxx.wxml 页面结构

xxx.wxss 页面样式

3、项目整体目录结构

pages 页面文件夹

index 首页

logs 日志

utils

util 工具类(mina框架自动生成,你也可建立：api)

app.js 入口js(类似于java类中的main方法)、全局js

app.json 全局配置文件

app.wxss 全局样式文件

project.config.json 跟你在详情中勾选的配置一样

sitemap.json 用来配置小程序及其页面是否允许被微信索引

三、小程序开发（了解即可）

1、可视化

2、真机调试

3、编译预览

4、NPM编译

案例1：小程序中嵌套Web应用资产 ->作用：对小程序抓包测试时->可以抓到网站信息->将小程序测试转向web测试

直接将以下代码放到小程序某个文件中即可

<web-view src="http://www.xiaodi8.com"></web-view>

案例2：嵌套第三方云服务如OSS ->作用：对小程序反编译后->代码审计发现敏感信息AK、SK

如代码审计发现->阿里云OSS存储-AK/SK->直接利用oss渗透工具接管oss

四、小程序安全->测试思路

1、逆向反编译->获取源码->代码审计->信息泄露&url&接口等

2、敏感信息泄露（AK/SK,APIKEY等）

3、资产信息提取（IP,Web应用，url等）

4、代码逻辑安全（算法，提交接口等）->有些地方有加密算法->在测试时找到加密逻辑->进行算法还原也很重要

参考：第24天课程演示->以下工具介绍如何对小程序进行“反编译”操作

https://github.com/r3x5ur/unveilr

https://github.com/Ackites/KillWxapkg

https://github.com/biggerstar/wedecode

https://github.com/eeeeeeeeee-code/e0e1-wx ->推荐使用

五、实例文章

https://mp.weixin.qq.com/s/z28ppqhNJnLVWSScMEqiuw->价值高

https://mp.weixin.qq.com/s/ZfovaAyipqzUIYdL9objPA->目前理解起来有点难度

https://mp.weixin.qq.com/s/PK1NhvdrDr3XWEliuyEiig