小步伐信息网络（小迪网络安全笔记~

免责声明：本文章仅用于交换学习，因文章内容而产生的任何违法&未授权举动，与文章作者无关！！！
附：完整笔记目录~
ps：本人小白，笔记均在个人明白基础上整理，如有错误接待指正！
四、小步伐信息网络

• 引子：本章对常见的小步伐信息网络方式做一先容。
  
• 小步伐种类网络
  网络方式与App种类网络大差不差。
  
  
  • 通过在线平台获取目的小步伐资产信息，如小蓝本：https://sou.xiaolanben.com/pc
    以小米为例：
    
    
    
    不外需要留意的是，几乎所有在线平台信息库都会存在误报&未收录的大概，需要测试者举行额外判定。
    
  • 搜刮各提供小步伐服务的平台，如WX搜刮小步伐等。
    例子同上：
    
    
    
    
  
  
• 敏感信息网络
  与App敏感信息网络相似，旨在网络由小步伐源码所泄露的敏感信息，如key、url、ip等。
  
  
  • 抓包
    触发小步伐功能点，拦截数据包，并通过数据包分析&获取其大概存在的敏感信息。PC端WX小步伐抓包方式，详见：https://www.cnblogs.com/sjjjjer/p/18575053
    使用小迪上课案例：
    
    
    
    
  • 反编译&正则&手工
    将缓存在PC的小步伐文件反编译为源码，再借助各平台提供的小步伐开发者IDE，通过源码正则&手工获取所泄露的敏感信息。
    PC端WX小步伐缓存文件默认路径：
    
    
    
    小步伐反编译工具推荐，工具一：https://github.com/Ackites/KillWxapkg
    例子同上：
    
    
    
    除了正则匹配敏感信息外，也可将反编译后的源码导入WX开发者工具举行手工网络。
    
    
    
    工具二：https://github.com/eeeeeeeeee-code/e0e1-wx
    例子同上：
    
    
    
    相较于第一款，两款工具能实现的功能差不多，都包罗反编译&正则&hook等。不外第二款工具在使用时更方便一些，无需输入过多指令&参数，且默认匹配敏感信息，默认匹配规则相较第一款更全。个人更推荐第二款，不外需要留意的是，这两款工具针对目的仅为WX小步伐。
    
  
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。