浅谈微信小程序反编译- Track 知识社区 - 掌控安全在线教育

0x1 前言

这几天在跟着师傅一起学习微信小程序的相关知识点，前面的微信小程序的漏洞挖掘蛮简单的，但是到后面需要黑盒测试了，就需要我们对小程序进行一个反编译，进行一个代码审计相关的知识点了。

小程序的反编译相关工具有好几个，下面我给师傅们都举例了我平常使用的几款github工具的简单入门使用，最后面给师傅们演示了下实战中我们如何去反编译微信的小程序。

作为中国特有的一种程序形态，小程序在我们的日常生活中已经无处不在。腾讯、百度、阿里巴巴、字节跳动、京东等各家互联网大厂都有各自的生态平台，当然，也有快应用这种行业联盟型的生态平台。

方式	微信小程序	APP
下载安装	通过微信(扫描二维码、搜索、分享)即可获得	从应用商店(App Store、应用汇等)下载安装
内存占用	无需安装，和微信共用内存使用，占用内存空间忽略不计	安装于手机内存，一直占用内存空间，太多的 App 可能会导致内存不足
手机适配	一次开发，多终端适配	需适配各种主流手机，开发成本大
产品发布	提交到微信公众平台审核，云推送	向十几个应用商店提交审核，且各应用商店所需资料不一样，非常繁琐
功能区别	限于微信平台提供的功能	对硬件资源的利用更加淋漓尽致，可以做出功能、设计、效果和流畅程度远远超过小程序的软件和服务
传输要求	必须使用 HTTPS，且绑定域名需要备案，不能直接使用 IP 作为地址	依照开发商自主要求，HTTPS 传输可选可不选
开发背景	适合初创团队，试错成本低，需要较少时间和资金投入	适合成熟的商业大公司，对自我品牌要求较高的企业