1. 项目概述从零到一构建微信小程序安全测试实战体系最近几年微信小程序生态发展迅猛几乎渗透到我们生活的方方面面从购物点餐到政务办理无所不包。作为一名长期在安全一线摸爬滚打的从业者我明显感觉到针对小程序的渗透测试需求在SRC安全应急响应中心项目和商业安全评估中占比越来越高。很多刚入行的朋友或者从传统Web安全转过来的兄弟面对小程序这个“熟悉的陌生人”常常感到无从下手它像Web应用但又运行在微信这个封闭的沙箱里它涉及前端逻辑又和后端API紧密耦合。这份实战笔记就是我结合多次真实项目经验系统梳理出的一套针对微信小程序的漏洞挖掘方法论。它不光是工具和技巧的罗列更侧重于理解小程序的运行机制、攻击面在哪里以及如何像攻击者一样思考。无论你是想提升自己在SRC的挖洞排名还是为企业提供更全面的安全服务相信这份从环境搭建到漏洞利用的完整路径都能给你带来直接的帮助。2. 核心攻击面分析与测试环境搭建在动手之前我们必须先搞清楚一个小程序究竟由哪些部分构成哪里可能藏着漏洞。一个小程序本质上可以看作一个“混合体”它的视图层WXML/WXSS和逻辑层JavaScript在微信客户端内运行类似于一个加强版的浏览器环境而所有的数据交互则通过wx.request等API与开发者部署的服务器进行通信。因此我们的攻击面主要围绕两大块客户端本地安全与服务端接口安全。2.1 客户端本地攻击面深度解析客户端是我们能直接接触到的部分也是信息收集的起点。核心关注以下几点源码与资源泄露小程序包.wxapkg是否可被反编译这直接决定了我们审计的深度。虽然微信不断加固但逆向工具链也在更新。获取到源码意味着你可以静态分析所有业务逻辑、API接口、硬编码的密钥甚至后端服务器地址。本地存储数据安全小程序使用的wx.setStorageSync等API将数据存储在本地。这些数据是否包含敏感信息如用户令牌token、个人信息、甚至未脱敏的业务数据检查其加密和访问控制是否到位。逻辑层JavaScript安全小程序的JS运行在特殊的JS Core中但仍可能面临常见的Web前端漏洞比如由于逻辑错误导致的越权、数据篡改等。特别是小程序提供了getUserInfo、openSetting等敏感接口其调用流程和权限校验是否严谨视图层注入风险WXML虽然模板化但通过{{}}进行数据绑定时如果服务端返回的数据未经过滤就直接渲染理论上存在注入的可能性虽然危害通常小于传统Web但仍需关注。注意对客户端进行测试必须在合法授权范围内进行。私自逆向、破解他人小程序包可能涉及法律风险。通常SRC项目或企业授权的渗透测试是开展此类活动的唯一合规途径。2.2 高效测试环境搭建全攻略工欲善其事必先利其器。一个高效的测试环境能让你事半功倍。下面是我常用的工具链和搭建步骤。第一步基础抓包环境配置这是所有测试的基石。由于小程序网络请求走的是微信客户端你需要配置代理来拦截流量。代理工具Burp Suite 或 Charles 是首选。我个人更习惯Burp因为它的Intruder、Repeater等模块在漏洞利用时非常强大。证书安装这是最关键也是最容易出错的一步。为了让微信信任你的代理必须将Burp或Charles的CA证书安装到系统信任根证书区并且同时安装到手机或模拟器中。在安卓手机上你需要将证书文件通常为der或pem格式传入手机并安装。在iOS上过程更繁琐需要通过描述文件安装且需要信任证书。模拟器推荐对于大量测试使用安卓模拟器如夜神、逍遥效率更高。在模拟器中设置Wi-Fi代理指向你的Burp监听地址如电脑IP:8080并安装证书即可。第二步小程序包获取与反编译这是进行深度源码审计的前提。主要有两种方式从已登录的微信客户端提取安卓手机Root后可以在/data/data/com.tencent.mm/MicroMsg/{一串哈希}/appbrand/pkg/目录下找到已下载的小程序包文件.wxapkg。模拟器通常更容易获得Root权限。使用自动化工具有一些开源工具如wxappUnpacker的衍生版本可以配合特定版本的微信PC端或模拟器实现自动抓取和解密小程序包。不过随着微信更新这些工具可能需要调整。拿到.wxapkg文件后使用反编译工具如wxappUnpacker进行解包。命令通常很简单node wuWxapkg.js 你的小程序包.wxapkg。成功后你会得到一个包含项目源码js, wxml, wxss, json等的文件夹。这时一个像VS Code这样的代码编辑器就是你审计源码的最佳伙伴。第三步信息收集与接口枚举在开始测试前系统地收集信息至关重要。静态分析源码在反编译得到的代码中全局搜索关键词如wx.request找到所有API接口端点。https:///http://直接发现后端域名。token、session、key、secret寻找硬编码的敏感凭证。uploadFile、downloadFile文件上传/下载接口。云函数、云开发如果用了微信云开发攻击面会有所不同。动态流量分析启动小程序遍历每一个功能点同时在Burp中观察所有HTTP/HTTPS请求。将请求域、接口路径、参数、方法GET/POST等信息记录下来。特别关注那些包含用户身份标识如uid, openid的请求。3. 核心漏洞挖掘实战手法详解有了环境和目标信息我们就可以开始“狩猎”了。下面我将结合案例详解几种在小程序中高频率出现且危害较大的漏洞挖掘手法。3.1 接口未授权访问与越权漏洞这是小程序乃至所有Web应用中最经典的漏洞类型在小程序中尤其普遍因为开发者有时会过度信任客户端传来的身份标识。漏洞原理服务端在处理请求时仅通过客户端上传的参数如user_id、openid来判断用户身份和权限而没有在服务端会话中严格校验该参数是否与当前登录用户匹配。实战案例平行越权查看他人订单在抓包中你发现一个查询订单详情的接口GET /api/order/detail?order_id12345。正常请求返回了你自己的订单信息。测试将order_id参数修改为另一个数字比如12346重放请求。结果如果服务器返回了不属于你的订单详情那么一个平行越权漏洞就存在了。深入测试垂直越权不仅横向越权还要测试权限提升。例如普通用户接口是否能访问管理员接口关键在于枚举接口路径。有时管理功能的路径可能只是普通路径前加/admin/或/manage/通过目录爆破工具如Burp Intruder配合常见路径字典可能会有所发现。实操心得测试越权时不要只改ID。尝试将请求方法从GET改为POST或者删除/添加一些看似不必要的参数如token有时服务器端的校验逻辑不一致会导致绕过。另外关注那些返回数据量大的列表接口它们可能缺少分页校验导致可以遍历获取全量数据。3.2 敏感信息泄露与硬编码凭证小程序包反编译后信息泄露问题一目了然。我把它分为两类1. 源码中的硬编码API密钥/Secret用于调用第三方服务如地图、支付、短信。直接在JS文件中搜索AK、secret、appsecret等关键词。后端数据库配置有时为了“图方便”开发者会把数据库连接字符串写在客户端代码里。加密密钥/IV用于客户端加解密的密钥如果硬编码意味着通信“加密”形同虚设你可以直接解密拦截到的密文。2. 不安全的本地存储使用微信开发者工具或手机文件管理器查看小程序的本地存储。wx.setStorageSync存储的数据可能未加密。如果发现完整的用户信息、会话令牌等就构成了信息泄露。更危险的是如果这个令牌没有和设备绑定或有过期机制窃取后可直接在其他设备上登录即“Token重放”攻击。3.3 业务逻辑漏洞挖掘这类漏洞与具体业务强相关需要深入理解小程序的功能流程。是体现测试者思维深度的关键。案例一薅羊毛之优惠券/积分无限领取观察流程用户点击“领取优惠券” - 客户端发送请求 - 服务端发放优惠券并返回成功。测试拦截这个领取请求用Burp Repeater模块多次重放。分析如果服务端没有做“幂等性”校验即同一用户同一优惠券只能领一次或者仅依赖前端按钮禁用而服务端无校验那么重放请求可能导致用户无限领取。扩展类似的逻辑还包括签到、抽奖、任务奖励等所有涉及“发放权益”的环节。重点检查服务端是否使用了全局唯一流水号、是否校验了业务状态前置条件。案例二绕过流程限制例如一个二手交易小程序流程是发布商品 - 支付保证金 - 上架。测试时尝试在支付保证金步骤拦截请求并尝试直接调用“上架”接口。如果成功则绕过了支付限制。挖掘技巧绘制业务流程图思考每个环节服务端必须校验什么。然后尝试“跳步”、“回退”或“重复”操作看服务端的逻辑是否跟得上。3.4 文件上传与云开发相关漏洞如果小程序涉及文件上传如头像、反馈图片这就是一个必须检查的点。文件上传漏洞测试寻找wx.uploadFile接口。尝试上传非常规文件如将一句话木马写入.jpg文件服务端可能只检查后缀名或上传.html、.svg可能触发XSS。尝试修改Content-Type头部绕过前端检查。最关键的是上传后访问文件的路径是否可预测如果文件被存储在可公开访问的URL下如OSS或云存储的公开桶且文件名未随机化就可能形成“文件上传直接访问”的漏洞链。微信云开发CloudBase特有风险 越来越多的开发者使用微信云开发。它的安全依赖于“云函数”和“数据库权限”。常见问题包括云函数权限过宽云函数默认在管理端运行拥有较高数据库权限。如果云函数本身没有对调用者身份做严格校验比如只验证了openid但没校验这个openid是否有权操作目标数据就会导致越权。数据库权限配置错误云开发的数据库有详细的权限规则如所有用户可读、仅创建者可写。如果配置为“所有用户可写”那任何用户都可以篡改他人数据。测试时可以尝试用普通用户的身份直接通过小程序端SDK或模拟请求去读写本不应有权限的数据集。4. 漏洞挖掘流程与高级技巧掌握了具体漏洞类型后我们需要一个系统化的流程来保证测试的覆盖率同时分享一些提升效率的高级技巧。4.1 标准化测试流程SOP我个人的测试流程通常遵循以下步骤这能确保不会遗漏重要环节信息收集与侦察如前所述反编译获取源码抓包枚举接口绘制业务功能地图。身份认证与会话管理测试重点测试登录、注册、密码找回、会话令牌token的生成、传输、刷新、失效机制是否存在缺陷。核心业务功能遍历按照用户角色普通用户、VIP用户、商家等手动走遍每一个业务功能点同时用Burp记录所有流量。这是发现业务逻辑漏洞的主要阶段。接口参数自动化模糊测试对于记录下来的关键接口尤其是涉及增删改查的使用Burp Intruder或自定义脚本对每个参数进行模糊测试Fuzzing。测试Payload包括但不限于SQL注入、命令注入、路径遍历、特殊字符、越权ID、边界值如超大整数、负数等。客户端安全专项检查检查本地存储、分析JS中的敏感逻辑、测试WebView如果小程序内嵌了H5页面的安全性。漏洞关联与组合利用思考发现的单个漏洞能否组合产生更大危害。例如一个信息泄露漏洞泄露了用户ID结合一个越权漏洞就能精准攻击特定用户。4.2 高效信息收集与自动化技巧手动测试固然重要但合理的自动化能解放双手。自动化反编译与扫描可以编写脚本将获取.wxapkg、反编译、关键信息如接口URL、硬编码密钥提取的过程自动化。市面上也有一些集成的工具雏形。Burp Suite插件助力Autorize用于自动检测越权漏洞。配置好低权限和高权限用户的令牌插件会自动用低权限令牌重放高权限的请求非常高效。Logger记录所有经过Burp的请求响应方便后续搜索和分析特别是在遍历大量功能时。Custom Payload Positions在Intruder中更灵活地定义攻击位置适合对复杂参数进行Fuzzing。自定义字典积累属于自己的测试字典。包括常见的接口路径/api/admin/user/list、参数名file、upload、云开发集合名等。在枚举隐藏接口时这些字典比通用字典有效得多。4.3 漏洞验证与报告撰写要点发现一个潜在问题后严谨的验证和清晰的报告同样重要。漏洞验证确保你的利用过程稳定、可复现。不要满足于“好像可以”。对于越权要证明在A用户的会话下能稳定地操作B用户的数据。对于信息泄露要证明能获取到未授权的真实敏感数据。报告撰写一份优秀的SRC报告是沟通的桥梁直接关系到漏洞的评级和修复效率。标题清晰直接点明漏洞类型和位置如“XX小程序订单查询接口存在平行越权漏洞”。漏洞等级根据漏洞的危害程度和利用难度客观评估高危、中危、低危。详细复现步骤以步骤列表的形式从登录开始到最终触发漏洞每一步的操作、使用的工具、发送的请求和收到的响应都要截图并附上关键数据包。要让完全不了解的人也能按步骤复现。请求与响应务必提供原始的HTTP请求和响应数据可脱敏关键令牌最好以代码块形式呈现。漏洞原理分析简要说明为什么这会是一个漏洞是服务端缺失了什么校验。修复建议给出具体、可操作的修复方案。例如对于越权建议“在服务端订单查询逻辑中增加校验当前登录用户的user_id必须与订单所属的user_id匹配否则拒绝请求”。避免只说“加强校验”这种空话。5. 常见问题排查与防御建议实录在实战中你会遇到各种奇怪的问题。这里记录一些常见的“坑”和排查思路。5.1 测试环境常见问题排查表问题现象可能原因排查步骤与解决方案抓不到小程序流量1. 代理设置不正确2. 证书未安装或未信任3. 微信或系统开启了证书固定SSL Pinning1. 确认手机/模拟器Wi-Fi代理IP和端口正确指向Burp。2. 重新安装CA证书到手机“受信任的凭据”根目录。3. 对于证书固定可尝试使用JustTrustMe需Root/Xposed或Objection等工具绕过或使用低版本微信客户端。反编译工具报错1. .wxapkg文件版本过新工具未支持2. 文件已损坏或加密方式有变1. 尝试寻找更新版本的反编译工具。2. 确认获取.wxapkg文件的方式正确尝试从不同版本微信客户端获取。小程序请求自带加密参数服务端可能对参数进行了签名校验如sign1. 静态分析JS代码寻找签名生成算法常涉及排序、拼接、MD5等。2. 使用Burp的插件如Turbo Intruder编写脚本在攻击时动态计算签名。接口返回“会话失效”Token过期或服务端有风控1. 检查Token有效期重新登录获取新Token。2. 请求频率过高可能触发风控需降低测试速度或更换IP。5.2 给开发者的安全防御建议知己知彼百战不殆。了解如何攻击才能更好地防御。如果你同时也是开发者请务必关注以下几点服务端校验是黄金法则绝不信任客户端传来的任何数据包括用户身份user_id, openid、状态、价格等。所有关键业务逻辑的权限和有效性判断必须在服务端进行。接口设计遵循最小权限原则每个接口只做一件事并且只返回该角色必需的数据。避免通用的“万能”接口。敏感信息绝不硬编码在客户端API密钥、加密密钥等必须存储在服务端通过安全的接口动态下发或用于服务端间通信。启用并正确配置云开发安全规则如果使用微信云开发花时间仔细学习并配置数据库的“安全规则”和云函数的“HTTP访问服务”这是防止越权访问的第一道防线。对文件上传进行严格过滤不仅检查文件后缀更要检查文件内容头Magic Number将文件存储在不可直接执行的环境下并使用随机、不可预测的文件名进行重命名。建立完善的日志审计和监控记录所有敏感操作登录、支付、数据修改的日志并设置异常行为告警如短时间内同一用户多次领取优惠券、频繁访问他人数据接口。这份实战笔记的内容几乎都是我在一个个真实项目和SRC提交中总结出来的经验。小程序安全测试的魅力在于它需要你同时具备Web前端、移动端、API接口甚至一点逆向工程的知识。过程虽然有时繁琐但当你能从一个不起眼的参数中找到一个高危漏洞那种成就感是无与伦比的。安全是一个持续对抗的过程微信小程序的框架和安全机制也在不断演进这意味着我们的知识和方法也需要持续更新。保持好奇心多动手实践多分析源码你就能在这个领域不断精进。最后一个小建议建立一个自己的“漏洞模式”知识库把每次测试的思路、Payload和技巧记录下来这将成为你最宝贵的财富。