前言 本文章不针对任何小程序、仅仅作为技术分享,希望通过技术分享小程序在安全方面做的更加严谨;其中所有的接口、包括内容已经做了隐蔽。 过程 作为一名IT工程师。记一次破解某相亲小程序的记录: 业务理解 首先了解其功能;功能包含;喜欢自己的人 如果想要知道是谁需要消费金币解锁;还包含了访客(隐藏);如果想要查看需要花费金币 实现目标 不需要花费金币即可查看喜欢我的人 小程序包查找&反编译 在笔记本电脑上找到微信小程序所在的文件夹;找到该小程序文件; github搜索小程序反编译工具;对打包好的小程序进行反编译。得到混淆后的js+html+css; 抓包 下载抓包软件;设置证书;因为接口基本上都是https的;否则无法查看相关接口数据; 查看接口返回的数据;在电脑端点击;分析接口;分析接口 点击不同的功能,查看发出的请求。分析接口得到结论 1、xxxxxx; 静态分析JS代码 1、接口重放这个需要逆向js代码。根据接口的地址片段全文搜索接口地址;发现代码混淆有点乱 2、先扔给了deepseek 拒绝回答我估计是监测到我要破解。 3、而后自己和前端同事研究(ps:我对js真的不太了解,就大学自学了几个月)+ 52破解网站和其他大神探讨,后发现(其实我已经研究出来了xxxxxxx)。 漏洞查找 接下来最核心的就是找接口的漏洞,点击了所有的接口;不断对比分析:发现了一个漏洞可以获取未加密的id;使用未加密的id绝大多数的接口迎刃而解。 预防 开发人员需要注意事项: 1、接口重放加密不要仅仅是本地简单的加密:需要结合远程服务器获取加密,如果怕影响用户体验可以定期更新; 2、接口漏洞存在平级越权.#信息安全 #网络安全 3、在用户登录的时候必要情况加上人脸识别;尤其是此类相亲软件;很容易被诈骗。 4、本地加密算法要定期在不同的小程序版本中更新 5、小程序天生就存在完完全全客户端化,并且很难加密,没有APP安全性高。 6、防爬虫,如果用户信息大量泄漏,会导致灰产利用。 结语 经过这一番折腾,我死劲作,被大量的人举报我。我的号被封了,还被警告了。好像就仅仅证明了我的技术实力而已,有点得不偿失。哈哈~~#小程序开发 #软件安全 #微信小程序