再谈外网信息收集(微信小程序)

好久没有水博客了。主要是最近考试还有，打攻防太忙了，刚打完上周的攻防，做了5天的牢主要都是在信息收集，发现攻防要打的好，信息收集是一定要做好的。

从小程序开始信息收集

打了这次攻防，我发现现在各种系统后台的弱密码已经非常少了。直接使用fofa等工具来找很容易出现打歪的情况。
而在这次攻防里我学到了可以从小程序来进行信息收集，因为小程序是近几年才兴起的，这回导致很多公司对小程序的安全并不重视，这就会导致小程序背后的网站经常会出现，弱密码和常见的框架漏洞。

很多小程序虽然是放在了微信上但是其实就是魔改的网站罢了，我们通过bp来抓包会发现很多小程序的很多功能走的都是http的协议，题目http报文我们就可以发现其所连接的网站，从而找到其后台网站，而这些后台网站一般都是很薄弱的资产，大部分存在弱密码，而且很多是使用的开源宽假（而且是老版本的）而通过小程序找到的网站我们有可以在通过ip反查，爆破子域名等来扩大资产。
这里我贴一个大神写的文章微信小程序的修炼五脉这位大神的这个系列文章共有五篇。干货满满。