免責聲明：本文章僅用于交流學習，因文章內容而產生的任何違法&未授權行為，與文章作者無關！！！
附：完整筆記目錄~
ps：本人小白，筆記均在個人理解基礎上整理，若有錯誤歡迎指正！

四、小程序信息收集

1. 引子：本章對常見的小程序信息收集方式做一介紹。
2. 小程序種類收集
   收集方式與App種類收集大差不差。
   1. 通過在線平臺獲取目標小程序資產信息，如小藍本：https://sou.xiaolanben.com/pc
      以小米為例：
      
      不過需要注意的是，幾乎所有在線平臺信息庫都會存在誤報&未收錄的可能，需要測試者進行額外判斷。
   2. 搜索各提供小程序服務的平臺，如WX搜索小程序等。
      例子同上：
      
3. 敏感信息收集
   與App敏感信息收集相似，旨在收集由小程序源碼所泄露的敏感信息，如key、url、ip等。
   1. 抓包
      觸發小程序功能點，攔截數據包，并通過數據包分析&獲取其可能存在的敏感信息。PC端WX小程序抓包方式，詳見：https://www.cnblogs.com/sjjjjer/p/18575053
      使用小迪上課案例：
      
   2. 反編譯&正則&手工
      將緩存在PC的小程序文件反編譯為源碼，再借助各平臺提供的小程序開發者IDE，通過源碼正則&手工獲取所泄露的敏感信息。
      PC端WX小程序緩存文件默認路徑：
      
      小程序反編譯工具推薦，工具一：https://github.com/Ackites/KillWxapkg
      例子同上：
      
      除了正則匹配敏感信息外，也可將反編譯后的源碼導入WX開發者工具進行手工收集。
      
      工具二：https://github.com/eeeeeeeeee-code/e0e1-wx
      例子同上：
      
      相較于第一款，兩款工具能實現的功能差不多，都包括反編譯&正則&hook等。不過第二款工具在使用時更方便一些，無需輸入過多指令&參數，且默認匹配敏感信息，默認匹配規則相較第一款更全。個人更推薦第二款，不過需要注意的是，這兩款工具針對目標僅為WX小程序。