一、背景

微信小程序已经深入到我们的生活中，一般公司除常见的Web网站、手机App客户端，也会开发对应的微信小程序。常见的Web网站可以使用F12、Fiddler抓包，手机App客户端也可以通过Root后使用Burp、Fiddler抓包，那么我们如何捕捉微信小程序的流量并进行安全测试呢？这里将以Burp + Proxifier 对微信小程序流量抓包。

二、步骤

由于电脑版微信已经支持小程序，故使用mac版微信，对其上运行的小程序进行抓包。微信电脑版到3.4.5之前，小程序可以使用系统代理，3.4.5之后版本小程序流量不会经过系统代理，无法通过电脑的全局代理流量的方法来抓取微信小程序的数据包，本文使用的 3.7.1 版本，故全局代理方式不适用。而使用 Proxifier 代理软件来进行流量中转，从而抓取到微信小程序的数据包。

2.1、Burp 安装

Burpsuite安装这里不过多详细介绍，主要需要下载证书并信任证书

2.2 安装Proxifier

Proxifier是一款功能非常强大的socks5客户端，可以让不支持通过代理服务器，工作的网络程序能通过HTTPS或socks或代理链。
Proxifier功能:

通过代理服务器运行任何网络应用程序。软件不需要特殊配置，整个过程十分透明。
通过代理服务器网关访问限制网络的互联网。
绕过防火墙限制。
通过代理服务器解析 DNS 名称。
使用带有主机名和应用程序名称通配符的灵活的代理规则。
通过隐藏 IP 地址确保隐私。
使用不同协议通过一组代理服务器链。
实时查看关于当前网络活动（连接，主机，时间，带宽使用等）的信息。
… 等等。

去Proxifier官网下载https://www.proxifier.com/ ，其是收费软件，免费试用31天。选择与电脑系统匹配的版本，我这最开始下载的版本太高，不支持，后续下载Proxifier 2.X版本即可正常安全。

2.3 配置Proxies

2.3.1 添加代理填入 burpSuite 代理 ip 和端口选择 https 保存即可

2.3.2 添加 Rules 过滤规则

通过 command+shift+G 可以通过访达输入指定路径并打开，mac 的微信小程序位置都是如下位置

/Applications/WeChat.app/Contents/MacOS

![](https://files.mdnice.com/user/4899/cca42d8d-f1fb-49c1-97c0-9dec59096d1a.png)

三、测试

用电脑微信打开小程序，发现出现网络连接失败，此时微信退出重新打开就好了

此时发现已经可以正常抓到接口流量了，可以愉快的进行安全测试了

四、总结

总的来说，对小程序抓包还是比较简单的，我们日常对安卓App测试抓包，对于安卓7.0以上的，由于不信任用户代理，都需要Root后才可进行抓包。此时我们可以把重点放在小程序上，一般来说小程序主要功能也都有。但此时相信你应该会发现其他问题。例如现在一般重要的接口都会有签名，防止重放，通过小程序如何找到签名规律呢？电脑版微信小程序安装包文件已经加密，此时如何逆向并找出小程序签名逻辑呢，下篇文章会详细介绍此功能。