微信小程序安全测试指南.pdfVIP

1.微信小程序安全测试指南 1. 1. 一.概述 1.1.1 指南概述 1.1.2 注意事项 1.由于新技术新业务的发展速度较快，可能存在客户要求的测试项不在指南中 的情况，本文档只提供对微信小程序进行测试的基本思路；另外测试方法可能 会有其他更好的替代方案，请积极探索并实践； 2.风险等级评定请按照业务需求评估，给出的定级进攻参考； 1.2. 二.测试准备 本节主要介绍微信小程序在测试过程中使用到的系统环境及测试工具： 系统 Mac OS Windows 10 1.2.1 常用工具列表 名称 用途 iTools 下载安装ipa，文件管理、越狱等 ADB PC 端与安卓手机进行调试交互 BurpSuite 抓包分析工具 Nmap 端口扫描工具 名称 用途 AWVS WEB 漏洞扫描工具 Sqlmap SQL 注入工具 中国菜刀 Webshell 连接工具 wxappUnpacker 小程序源代码获取工具 1.2.3 微信小程序介绍 微信小程序是一种不需要下载安装即可使用的应用，它实现了应用“触手可及” 的梦想，用户扫一扫或者搜一下即可打开应用，也体现了“用完即走”的理念， 用户不用关心是否安装太多应用的问题。应用将无处不在，随时可用，但又无 需安装卸载。对于开发者而言，小程序开发门槛相对较低，难度不及APP ，能 够满足简单的基础应用，适合生活服务类线下商铺以及非刚需低频应用的转换。 小程序能够实现消息通知、线下扫码、公众号关联等七大功能。其中，通过公 众号关联，用户可以实现公众号与小程序之间相互跳转。 微信小程序与APP 之间的区别 (1)下载安装 微信小程序：通过微信(扫描二维码、搜索、分享)即可获得; App ：从应用商店(App Store、应用汇等)下载安装; (2) 内存占用 微信小程序：无需安装，和微信共用内存使用，占用内存空间忽略不计; App ：安装于手机内存，一直占用内存空间，太多的 App 可能会导致内存不 足; (3)手机适配 微信小程序：一次开发，多终端适配; App ：需适配各种主流手机，开发成本大; (4)产品发布 微信小程序：提交到微信公众平台审核，云推送; App ：向十几个应用商店提交审核，且各应用商店所需资料不一样，非常繁琐; (5)功能区别 微信小程序：限于微信平台提供的功能; App ：对硬件资源的利用更加淋漓尽致，可以做出功能、设计、效果和流畅程 度远远超过小程序的软件和服务； (6)传输要求 微信小程序：必须使用HTTPS，且绑定域名需要备案，不能直接使用IP 作为 地址； App ：依照开发商自主要求，HTTPS 传输可选可不选； (7)开发背景 微信小程序：适合初创团队，试错成本低，需要较少时间和资金投入； App ：适合成熟的商业大公司，对自我品牌要求较高的企业。 1. 3. 三.微信小程序测试指南 1.3.1 微信小程序客户端测试 3.1.1 微信小程序架构分析 微信小程序采用了框架化进行开发，主要分为视图层、逻辑层、JSBridge 。JS 负责业务逻辑层的实现，而视图层则由WXML 和WXSS 来共同