小程序测试流程分为两个方面，解包可以挖掘信息泄露问题、隐藏的接口，抓包可以测试一些逻辑漏洞、API安全问题。两者结合起来就可以边调试边进行测试，更方便于安全测试。搜索目标小程序目标搜索不能仅仅局限于主体单位，支撑单位、供应商、全资子公司等都可能是入口点，所以小程序当然也不能放过它们。小程序主体信息确认查看小程序账号主体信息，否则打偏了花费了时间不说，还可能有法律风险。

小程序和公众号抓包目前微信支持在pc端打开公众号和小程序，我们只需要全局代理到bp上即可。选择好以后点击确认，然后点击应用。（如果你本身设置有vps，可能会冲突，建议关闭vps。）Windows操作windows直接设置--》网络和Internet，找到代理，打开设置为bp的端口即可。

小程序测试流程分为两个方面，解包可以挖掘信息泄露问题、隐藏的接口，抓包可以测试一些逻辑漏洞、API安全问题。

2020年6月11日，中国信息通信研究院安全研究所联合南都个人信息保护研究中心编写的《小程序个人信息保护研究报告》正式发布。2020年新冠肺炎疫情以来，小程序也成为政府机关、医疗机构、企事业单位、社区学校疫情防控的重要工具，进一步推动其快速发展。疫情期间，个人健康信息上报、健康码获取等疫情防控工作大多借助小程序开展，涉及大量个人信息的收集使用，存在个人信息泄露、滥用、窃取风险，其数据安全性引起广泛关注。

Frida虽然确实调试起来相当方便，但是Xposed由于能够安装在用户手机上实现持久化的hook，至今受到很多人的青睐，对于微信小程序的wx.request API。背景知识众所周知，Xposed主要用于安卓Java层的Hook，而微信小程序则是由JS编写的，显然无法直接进行hook。对于Xposed则没有这个问题，只需指定微信的包名就会自动hook上所有的子进程。答案是可以的，如下所示：Xposed hook wx.request java层代码得到发送的数据实现如下所示：得到响应数据的Xposed代码就不贴了，方法同上。

是一款小程序安全评估工具，支持小程序的代码审计和发现敏感信息泄露、接口未授权等安全问题安装方法使用?环境自行构建参数详解子命令默认为?

在一些关键业务接口，系统通常会对请求参数进行签名验证，一旦篡改参数服务端就会提示签名校验失败。在黑盒渗透过程中，如果没办法绕过签名校验，那么就无法进一步漏洞检测。