Day-198-渗透测试中的小程序安全测试

# Day 252: 渗透测试中的小程序安全测试

> 渗透测试系列第 42 天 | 预计阅读时间：45 分钟 | 难度：★★★★★

---

## 清单 目录
1. [小程序安全概述](#小程序安全概述)
2. [小程序架构与原理](#小程序架构与原理)
3. [小程序信息收集](#小程序信息收集)
4. [小程序反编译](#小程序反编译)
5. [小程序常见漏洞](#小程序常见漏洞)
6. [通信安全测试](#通信安全测试)
7. [数据存储安全](#数据存储安全)
8. [认证授权测试](#认证授权测试)
9. [业务逻辑测试](#业务逻辑测试)
10. [小程序测试工具](#小程序测试工具)
11. [多平台小程序测试](#多平台小程序测试)
12. [防御与加固](#防御与加固)
13. [实战案例](#实战案例)
14. [总结与思考](#总结与思考)
15. [参考资料](#参考资料)

---

## 小程序安全概述

### 什么是小程序

小程序是一种不需要下载安装即可使用的应用，它实现了应用"触手可及"的梦想，用户扫一扫或搜一下即可打开应用。

```
┌─────────────────────────────────────────────────────────────┐
│                    小程序安全重要性                          │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  小程序普及程度：                                            │
│  ├── 微信小程序：超 4 亿日活                                   │
│  ├── 支付宝小程序：超 3 亿日活                                 │
│  ├── 抖音小程序：超 2 亿日活                                   │
│  └── 百度/京东/美团等均有小程序                              │
│                                                             │
│  小程序安全特点：                                            │
│  ├── 运行环境受限 (沙盒)                                    │
│  ├── 依赖平台审核                                           │
│  ├── 后端 API 暴露                                           │
│  ├── 客户端代码可反编译                                     │
│  └── 数据本地存储                                           │
│                                                             │
│  小程序安全风险：                                            │
│  ├── 代码泄露 (反编译)                                      │
│  ├── API 接口暴露                                            │
│  ├── 敏感数据存储                                           │
│  ├── 认证授权缺陷                                           │
│  └── 业务逻辑漏洞                                           │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 小程序 vs Web vs App

| 特性 | 小程序 | Web 应用 | 原生 App |
|------|--------|----------|----------|
| **分发渠道** | 平台审核 | 自主发布 | 应用商店 |
| **更新方式** | 自动更新 | 即时更新 | 手动更新 |
| **运行环境** | 沙盒 | 浏览器 | 系统 |
| **代码保护** | 可反编译 | 可查看 | 较难 |
| **测试方法** | 特殊工具 | 常规工具 | 特殊工具 |
| **安全审核** | 平台审核 | 无 | 商店审核 |

### 小程序安全测试范围

```
小程序安全测试范围:
├── 客户端安全
│   ├── 代码反编译
│   ├── 敏感信息泄露
│   ├── 本地存储安全
│   └── 代码逻辑分析
├── 通信安全
│   ├── HTTPS 配置
│   ├── 数据加密
│   ├── 证书验证
│   └── 中间人攻击
├── 接口安全
│   ├── API 认证
│   ├── 参数验证
│   ├── 权限控制
│   └── 速率限制
├── 业务逻辑
│   ├── 流程绕过
│   ├── 状态篡改
│   ├── 竞争条件
│   └── 逻辑缺陷
└── 平台安全
    ├── 小程序配置
    ├── 权限设置
    └── 域名配置
```

---

## 小程序架构与原理

### 微信小程序架构

```
微信小程序架构:
├── 双线程模型
│   ├── 渲染层 (WebView)
│   │   └── 负责页面渲染
│   └── 逻辑层 (JavaScriptCore)
│       └── 负责逻辑处理
├── 通信机制
│   └── Native 桥接
├── 文件结构
│   ├── .wxml (页面结构)
│   ├── .wxss (样式)
│   ├── .js (逻辑)
│   ├── .json (配置)
│   └── app.js/app.json (全局)
└── 运行环境
    ├── 微信客户端
    ├── 开发者工具
    └── 真机调试
```

### 小程序生命周期

```
小程序生命周期:
├── 应用生命周期
│   ├── onLaunch (启动)
│   ├── onShow (显示)
│   └── onHide (隐藏)
├── 页面生命周期
│   ├── onLoad (加载)
│   ├── onShow (显示)
│   ├── onReady (就绪)
│   ├── onHide (隐藏)
│   └── onUnload (卸载)
└── 组件事件
    └── 各种交互事件
```

### 小程序安全模型

```
小程序安全限制:
├── 网络限制
│   ├── 仅允许 HTTPS
│   ├── 域名白名单
│   └── 请求频率限制
├── 存储限制
│   ├── 本地存储大小限制
│   ├── 文件访问限制
│   └── 沙盒隔离
├── 能力限制
│   ├── API 权限控制
│   ├── 用户授权
│   └── 平台审核
└── 代码限制
    ├── 代码大小限制
    ├── 禁止动态代码
    └── 禁止 eval
```

---

## 小程序信息收集

### 小程序识别

```bash
# 微信小程序识别
# 通过小程序名称搜索
# 微信 → 发现 → 小程序 → 搜索

# 获取小程序 AppID
# 方法 1: 开发者工具
# 方法 2: 抓包分析
# 方法 3: 第三方平台查询

# 小程序 AppID 格式
# wx + 18 位字符
# 如：wx1234567890abcdef
```

### 域名信息收集

```bash
# 通过抓包获取 API 域名
# 微信开发者工具 → 真机调试 → 抓包

# 使用 Charles/Fiddler 抓包
# 配置 SSL 代理
# 过滤小程序请求

# 常见 API 域名模式
# api.xxx.com
# xxx-api.xxx.com
# openapi.xxx.com
```

### 配置信息收集

```javascript
// app.json 中的配置信息
{
  "pages": [...],           // 页面路径
  "window": {...},          // 窗口配置
  "tabBar": {...},          // 底部导航
  "networkTimeout": {...},  // 网络超时
  "permission": {...},      // 权限配置
  "requiredBackgroundModes": [...] // 后台模式
}

// 敏感配置检查
// - 是否启用调试
// - 域名配置
// - 权限申请
// - 第三方服务
```

---

## 小程序反编译

### 微信小程序反编译

```
反编译原理:
├── 小程序包下载
│   └── 微信客户端缓存
├── 代码解密
│   └── 移除加密层
├── 代码还原
│   ├── wxml 还原
│   ├── wxss 还原
│   ├── js 还原
│   └── json 还原
└── 资源提取
    └── 图片、音频等
```

```bash
# 微信小程序反编译工具

# 1. 微信开发者工具
# 官方工具，可调试小程序

# 2. 第三方反编译工具
# - wxappUnpacker
# - easywxapkg
# - 小圆子反编译

# 使用 wxappUnpacker
git clone https://github.com/xuedingmiaojun/wxappUnpacker.git
node wuWxapkg.js xxx.wxapkg

# 获取小程序包
# 方法 1: 微信客户端缓存
# 方法 2: 抓包下载
# 方法 3: 第三方平台
```

### 反编译步骤

```
反编译流程:
├── 1. 获取小程序包
│   ├── 运行小程序
│   └── 从缓存提取
├── 2. 解密处理
│   └── 移除加密
├── 3. 反编译
│   ├── 工具自动处理
│   └── 手动还原
├── 4. 代码分析
│   ├── 敏感信息
│   ├── API 接口
│   └── 业务逻辑
└── 5. 测试验证
    └── 漏洞验证
```

### 代码分析重点

```javascript
// 代码分析关注点

// 1. 敏感信息
// app.js 中查找
const app = getApp()
// 查找硬编码密钥、密码、API Key

// 2. API 接口
// 所有 request 调用
wx.request({
    url: 'https://api.xxx.com/endpoint',
    method: 'POST',
    data: {...}
})

// 3. 认证逻辑
// 登录、token 处理
wx.login()
wx.getUserInfo()

// 4. 数据处理
// 加密、解密函数
// 签名验证
```

---

## 小程序常见漏洞

### 敏感信息泄露

```
敏感信息泄露类型:
├── 硬编码凭证
│   ├── API Key
│   ├── Secret
│   └── 密码
├── 接口信息
│   ├── API 地址
│   ├── 参数格式
│   └── 返回结构
├── 业务逻辑
│   ├── 验证逻辑
│   ├── 加密算法
│   └── 签名规则
└── 用户数据
    ├── 本地存储
    └── 缓存数据
```

```javascript
// 敏感信息泄露示例

// 1. 硬编码密钥 (危险)
const API_KEY = 'sk_1234567890abcdef';
const SECRET = 'secret_key_here';

// 2. 接口地址暴露
const BASE_URL = 'https://api.example.com/v1/';

// 3. 加密密钥
const ENCRYPT_KEY = 'aes_key_123456';

// 4. 调试信息
console.log('User info:', userInfo);
```

### 不安全的通信

```
通信安全问题:
├── HTTP 明文传输
│   └── 小程序要求 HTTPS
├── 证书验证缺失
│   └── 不验证服务器证书
├── 数据未加密
│   └── 敏感数据明文
└── 中间人攻击
    └── 可被拦截
```

```javascript
// 不安全通信示例

// 1. 未加密敏感数据
wx.request({
    url: 'https://api.example.com/login',
    data: {
        username: 'admin',
        password: 'password123'  // 明文密码
    }
})

// 2. Token 明文传输
wx.request({
    url: 'https://api.example.com/user',
    header: {
        'Authorization': 'Bearer ' + token  // 未加密
    }
})
```

### 认证授权缺陷

```
认证授权问题:
├── Token 验证缺失
│   └── 未验证或验证不严
├── 权限控制缺陷
│   ├── 越权访问
│   └── 水平/垂直越权
├── 会话管理问题
│   ├── Token 过期
│   └── 会话固定
└── 登录逻辑缺陷
    └── 可绕过验证
```

```javascript
// 认证授权缺陷示例

// 1. Token 未验证
// 后端未验证 Token 有效性

// 2. 越权访问
// 访问其他用户数据
GET /api/user/123  // 未验证是否属于当前用户

// 3. 会话固定
// Token 长期不变
// 未定期刷新
```

### 业务逻辑漏洞

```
业务逻辑漏洞:
├── 流程绕过
│   ├── 跳过验证步骤
│   └── 直接调用接口
├── 参数篡改
│   ├── 价格篡改
│   ├── 数量篡改
│   └── 状态篡改
├── 竞争条件
│   ├── 并发请求
│   └── 状态不一致
└── 重放攻击
    └── 请求重放
```

```javascript
// 业务逻辑漏洞示例

// 1. 价格篡改
// 修改订单金额
{
    "order_id": "123",
    "amount": 0.01  // 原 100 元，改为 0.01 元
}

// 2. 状态篡改
// 修改订单状态
{
    "order_id": "123",
    "status": "paid"  // 未支付改为已支付
}

// 3. 重放攻击
// 重复提交优惠券
POST /api/coupon/use
{
    "coupon_id": "ABC123"
}
// 多次提交同一优惠券
```

---

## 通信安全测试

### 抓包配置

```
抓包工具配置:
├── Charles 配置
│   ├── SSL 代理设置
│   ├── 证书安装
│   └── 过滤规则
├── Fiddler 配置
│   ├── HTTPS 解密
│   ├── 证书信任
│   └── 脚本扩展
├── Burp Suite 配置
│   ├── 代理设置
│   ├── 证书安装
│   └── 拦截规则
└── 微信开发者工具
    └── 内置调试工具
```

```bash
# Charles 抓包配置

# 1. 设置 SSL 代理
# Proxy → SSL Proxying Settings
# Add: api.example.com:443

# 2. 安装证书
# Help → SSL Proxying → Save Charles Root Certificate
# 手机安装证书

# 3. 配置手机代理
# WiFi → 代理 → 手动
# 服务器：电脑 IP
# 端口：8888
```

### 请求分析

```
请求分析要点:
├── 请求头分析
│   ├── Content-Type
│   ├── Authorization
│   └── 自定义头部
├── 请求体分析
│   ├── 参数格式
│   ├── 敏感数据
│   └── 加密情况
├── 响应分析
│   ├── 状态码
│   ├── 返回数据
│   └── 错误信息
└── 认证分析
    ├── Token 格式
    ├── 有效期
    └── 刷新机制
```

### 中间人攻击测试

```
中间人攻击测试:
├── 证书验证测试
│   └── 测试是否验证证书
├── 数据篡改测试
│   ├── 请求篡改
│   └── 响应篡改
├── 重定向测试
│   └── HTTPS 重定向
└── 降级攻击测试
    └── HTTPS 降级 HTTP
```

```python
# Burp Suite 拦截修改示例

# 1. 拦截请求
# Proxy → Intercept → On

# 2. 修改参数
# 修改金额、数量等

# 3. 转发请求
# Forward

# 4. 观察响应
# 检查是否验证
```

---

## 数据存储安全

### 本地存储测试

```
小程序存储方式:
├── wx.setStorage
│   └── 本地存储
├── wx.setStorageSync
│   └── 同步存储
├── wx.saveFile
│   └── 文件存储
└── 缓存
    └── 系统缓存
```

```javascript
// 本地存储安全检查

// 1. 检查存储内容
wx.getStorage({
    key: 'userInfo',
    success: function(res) {
        console.log(res.data);
        // 检查是否存储敏感信息
    }
})

// 2. 敏感信息不应本地存储
// - 错误做法
wx.setStorage({
    key: 'password',
    data: 'password123'
})

// + 正确做法
// 敏感信息不存储，或使用加密
```

### 数据加密测试

```
数据加密检查:
├── 加密算法
│   ├── AES
│   ├── RSA
│   └── 国密算法
├── 密钥管理
│   ├── 密钥存储
│   ├── 密钥更新
│   └── 密钥强度
└── 加密实现
    ├── 加密模式
    ├── 填充方式
    └── IV 使用
```

```javascript
// 数据加密示例

// 1. 使用加密库
const CryptoJS = require('crypto-js');

// 2. 加密数据
const encrypted = CryptoJS.AES.encrypt(
    JSON.stringify(data),
    'secret_key'
).toString();

// 3. 解密数据
const decrypted = CryptoJS.AES.decrypt(
    encrypted,
    'secret_key'
).toString(CryptoJS.enc.Utf8);
```

---

## 认证授权测试

### 登录流程测试

```
登录流程测试:
├── 微信登录
│   ├── wx.login()
│   ├── code 交换
│   └── token 获取
├── 账号密码登录
│   ├── 密码传输
│   ├── 验证逻辑
│   └── Token 返回
├── 手机号登录
│   ├── 验证码
│   ├── 验证逻辑
│   └── 频率限制
└── 第三方登录
    └── OAuth 流程
```

```javascript
// 微信登录流程

// 1. 获取 code
wx.login({
    success: function(res) {
        const code = res.code;
        
        // 2. 发送到后端
        wx.request({
            url: 'https://api.example.com/login',
            method: 'POST',
            data: { code: code }
        })
    }
})

// 3. 后端验证 code
// 4. 返回 token
```

### Token 安全测试

```
Token 安全测试:
├── Token 格式
│   ├── JWT
│   ├── 自定义
│   └── 随机字符串
├── Token 验证
│   ├── 签名验证
│   ├── 有效期验证
│   └── 黑名单检查
├── Token 存储
│   ├── 本地存储
│   └── 内存存储
└── Token 刷新
    ├── 自动刷新
    └── 手动刷新
```

```javascript
// Token 安全测试

// 1. Token 篡改测试
// 修改 Token 内容
// 测试是否验证签名

// 2. Token 过期测试
// 使用过期 Token
// 测试是否拒绝

// 3. Token 重放测试
// 重复使用 Token
// 测试是否限制

// 4. 越权测试
// 使用 A 用户 Token 访问 B 用户数据
```

---

## 业务逻辑测试

### 支付流程测试

```
支付流程测试:
├── 价格篡改
│   └── 修改订单金额
├── 状态篡改
│   └── 修改支付状态
├── 回调验证
│   └── 支付回调验证
├── 并发测试
│   └── 并发支付请求
└── 退款测试
    └── 退款流程
```

### 优惠券测试

```
优惠券测试:
├── 重复使用
│   └── 同一优惠券多次使用
├── 叠加使用
│   └── 多张优惠券叠加
├── 条件绕过
│   └── 不满足条件使用
├── 金额篡改
│   └── 修改优惠金额
└── 有效期绕过
    └── 过期优惠券使用
```

### 邀请机制测试

```
邀请机制测试:
├── 自邀请
│   └── 自己邀请自己
├── 虚假邀请
│   └── 伪造邀请记录
├── 刷邀请
│   └── 批量创建邀请
├── 奖励篡改
│   └── 修改奖励数量
└── 条件绕过
    └── 不满足条件获取奖励
```

---

## 小程序测试工具

### 官方工具

| 工具 | 平台 | 用途 |
|------|------|------|
| **微信开发者工具** | 微信 | 开发调试 |
| **支付宝开发者工具** | 支付宝 | 开发调试 |
| **抖音开发者工具** | 抖音 | 开发调试 |

### 第三方工具

| 工具 | 用途 | 平台 |
|------|------|------|
| **Charles** | 抓包 | 跨平台 |
| **Fiddler** | 抓包 | Windows |
| **Burp Suite** | 渗透测试 | 跨平台 |
| **wxappUnpacker** | 反编译 | 微信 |
| **easywxapkg** | 反编译 | 微信 |
| **小圆子** | 反编译 | 微信 |

### 自动化测试

```javascript
// 小程序自动化测试

// 使用 miniprogram-simulate
const simulate = require('miniprogram-simulate');

// 加载页面
const id = simulate.load('page');

// 模拟用户操作
const page = simulate.render(id);
page.setData({ key: 'value' });

// 断言
expect(page.data.result).toBe('expected');
```

---

## 多平台小程序测试

### 微信小程序

```
微信特点:
├── 用户量最大
├── 审核严格
├── 能力丰富
└── 生态完善
```

### 支付宝小程序

```
支付宝特点:
├── 支付能力强
├── 企业用户多
├── 政务服务多
└── 信用体系
```

### 抖音小程序

```
抖音特点:
├── 流量大
├── 视频能力强
├── 年轻用户多
└── 电商发展快
```

### 平台差异测试

```
测试关注点:
├── API 差异
│   └── 各平台 API 不同
├── 权限差异
│   └── 权限申请不同
├── 审核差异
│   └── 审核标准不同
└── 安全策略差异
    └── 安全限制不同
```

---

## 防御与加固

### 代码加固

```
代码加固措施:
├── 代码混淆
│   ├── 变量名混淆
│   ├── 控制流混淆
│   └── 字符串加密
├── 反调试
│   ├── 调试检测
│   └── 反模拟器
├── 完整性校验
│   ├── 代码校验
│   └── 签名验证
└── 反反编译
    └── 增加反编译难度
```

### 通信加固

```
通信加固措施:
├── HTTPS 强制
│   └── 禁用 HTTP
├── 证书绑定
│   └── 证书锁定
├── 数据加密
│   ├── 请求加密
│   └── 响应加密
├── 签名验证
│   ├── 请求签名
│   └── 响应签名
└── 防重放
    └── 时间戳 + nonce
```

### 业务加固

```
业务加固措施:
├── 服务端验证
│   └── 所有逻辑服务端验证
├── 频率限制
│   └── API 调用限制
├── 风控系统
│   ├── 异常检测
│   └── 行为分析
├── 审计日志
│   └── 操作记录
└── 监控告警
    └── 异常告警
```

---

## 实战案例

### 案例一：电商小程序渗透测试

#### 场景描述

```
客户：某电商企业
小程序：微信小程序
功能：商品浏览、下单、支付
时间：1 周
```

#### 测试过程

```
Day 1-2: 信息收集
┌─────────────────────────────────────────────────────────┐
│ - 小程序反编译                                          │
│   - 获取小程序包                                        │
│   - 反编译代码                                          │
│   - 分析代码结构                                        │
│                                                         │
│ - API 接口收集                                          │
│   - 抓包分析                                            │
│   - 整理 API 列表                                         │
│   - 分析参数格式                                        │
└─────────────────────────────────────────────────────────┘

Day 3-4: 漏洞测试
┌─────────────────────────────────────────────────────────┐
│ - 认证授权测试                                          │
│   - Token 验证测试                                       │
│   - 越权访问测试                                        │
│   - 发现 2 个越权漏洞                                     │
│                                                         │
│ - 业务逻辑测试                                          │
│   - 价格篡改测试                                        │
│   - 优惠券测试                                          │
│   - 发现 1 个价格篡改漏洞                                 │
│                                                         │
│ - 数据安全测试                                          │
│   - 本地存储检查                                        │
│   - 通信加密检查                                        │
│   - 发现 3 个敏感信息泄露                                 │
└─────────────────────────────────────────────────────────┘

Day 5: 报告与修复
┌─────────────────────────────────────────────────────────┐
│ - 编写渗透测试报告                                      │
│ - 提交开发团队                                          │
│ - 协助修复                                              │
│ - 复测验证                                              │
└─────────────────────────────────────────────────────────┘
```

#### 发现的问题

```
严重 (1 个):
└── 1. 价格篡改漏洞
    └── 可修改订单金额

高 (2 个):
├── 2. 越权访问订单
│   └── 可访问其他用户订单
└── 3. 优惠券重复使用
    └── 同一优惠券可多次使用

中 (3 个):
├── 4-6. 敏感信息泄露
    └── 本地存储明文密码等

低 (5 个):
└── 7-11. 信息泄露
    └── API 返回过多数据
```

### 案例二：金融小程序安全评估

#### 场景描述

```
客户：某金融机构
小程序：支付宝小程序
功能：理财、转账、查询
时间：2 周
```

#### 测试结果

```
发现:
├── 严重：0 个
├── 高：2 个
│   ├── Token 有效期过长
│   └── 转账金额未二次验证
├── 中：5 个
│   ├── 敏感数据未加密
│   └── 日志泄露信息
└── 低：10 个
    └── 信息泄露等

建议:
├── 缩短 Token 有效期
├── 增加转账验证
├── 敏感数据加密
├── 清理调试日志
└── 代码混淆加固
```

---

## 总结与思考

### 核心要点回顾

1. **小程序安全测试特殊**
   - 需要专门工具
   - 反编译是基础
   - 抓包是关键

2. **常见漏洞集中**
   - 敏感信息泄露
   - 认证授权缺陷
   - 业务逻辑漏洞

3. **平台差异重要**
   - 各平台不同
   - 审核标准不同
   - 安全策略不同

4. **防御需要多层**
   - 代码加固
   - 通信加密
   - 业务验证

5. **合规要求严格**
   - 平台审核
   - 数据保护
   - 隐私合规

### 实战建议

1. **对测试人员**:
   - 学习小程序开发
   - 掌握反编译工具
   - 熟悉各平台
   - 合法测试

2. **对开发人员**:
   - 安全编码
   - 敏感信息不硬编码
   - 服务端验证
   - 代码加固

3. **对组织**:
   - 安全审核流程
   - 定期安全测试
   - 应急响应机制
   - 合规检查

---

## 参考资料

### 学习资源

- **微信小程序官方文档**
  - https://developers.weixin.qq.com/miniprogram/dev/

- **支付宝小程序官方文档**
  - https://opendocs.alipay.com/mini/

- **OWASP Mobile Security**
  - https://owasp.org/www-project-mobile-security/

### 工具资源

| 工具 | 用途 | 链接 |
|------|------|------|
| **微信开发者工具** | 开发调试 | https://developers.weixin.qq.com/ |
| **Charles** | 抓包 | https://www.charlesproxy.com/ |
| **Burp Suite** | 渗透测试 | https://portswigger.net/burp |
| **wxappUnpacker** | 反编译 | https://github.com/xuedingmiaojun/wxappUnpacker |

### 书籍推荐

1. **《小程序开发实战》**
   - 小程序开发指南

2. **《移动应用安全测试》**
   - 移动安全测试

3. **《微信小程序开发与安全》**
   - 微信开发与安全

---

*365 天信息安全技术系列 | Day 252 | 渗透测试系列 | 小程序安全测试*
*创建时间：2026-04-12 | 作者：安全专家 · 严谨专业版*