小程序測試流程分為兩個方面，解包可以挖掘信息泄露問題、隱藏的接口，抓包可以測試一些邏輯漏洞、API安全問題。兩者結合起來就可以邊調試邊進行測試，更方便于安全測試。搜索目標小程序目標搜索不能僅僅局限于主體單位，支撐單位、供應商、全資子公司等都可能是入口點，所以小程序當然也不能放過它們。小程序主體信息確認查看小程序賬號主體信息，否則打偏了花費了時間不說，還可能有法律風險。

小程序和公眾號抓包目前微信支持在pc端打開公眾號和小程序，我們只需要全局代理到bp上即可。選擇好以后點擊確認，然后點擊應用。（如果你本身設置有vps，可能會沖突，建議關閉vps。）Windows操作windows直接設置--》網絡和Internet，找到代理，打開設置為bp的端口即可。

小程序測試流程分為兩個方面，解包可以挖掘信息泄露問題、隱藏的接口，抓包可以測試一些邏輯漏洞、API安全問題。

2020年6月11日，中國信息通信研究院安全研究所聯合南都個人信息保護研究中心編寫的《小程序個人信息保護研究報告》正式發布。2020年新冠肺炎疫情以來，小程序也成為政府機關、醫療機構、企事業單位、社區學校疫情防控的重要工具，進一步推動其快速發展。疫情期間，個人健康信息上報、健康碼獲取等疫情防控工作大多借助小程序開展，涉及大量個人信息的收集使用，存在個人信息泄露、濫用、竊取風險，其數據安全性引起廣泛關注。

Frida雖然確實調試起來相當方便，但是Xposed由于能夠安裝在用戶手機上實現持久化的hook，至今受到很多人的青睞，對于微信小程序的wx.request API。背景知識眾所周知，Xposed主要用于安卓Java層的Hook，而微信小程序則是由JS編寫的，顯然無法直接進行hook。對于Xposed則沒有這個問題，只需指定微信的包名就會自動hook上所有的子進程。答案是可以的，如下所示：Xposed hook wx.request java層代碼得到發送的數據實現如下所示：得到響應數據的Xposed代碼就不貼了，方法同上。

是一款小程序安全評估工具，支持小程序的代碼審計和發現敏感信息泄露、接口未授權等安全問題安裝方法使用?環境自行構建參數詳解子命令默認為?

在一些關鍵業務接口，系統通常會對請求參數進行簽名驗證，一旦篡改參數服務端就會提示簽名校驗失敗。在黑盒滲透過程中，如果沒辦法繞過簽名校驗，那么就無法進一步漏洞檢測。