一、定义

小程序是一种不需要下载安装即可使用的应用，它实现了应用“触手可及”的梦想，用户扫一扫或者搜一下即可打开应用。也体现了“用完即走”的理念，用户不用关心是否安装太多应用的问题。应用将无处不在，随时可用，但又无需安装卸载。

二、抓包

2.1 安装burp证书

进入burp网络代理模块，选择【import/export CA certificate】

选择export模块的第一个，导出DER证书，点击next

选择导出的位置和名称，点击next

导出成功，会在你导出的位置中生成证书，

双击证书，进行本地安装，点击安装证书

选择当前用户或者本地计算机都可以，点击下一步

选择【将所有的证书都放入下列存储】

点击浏览，选择【受信任的根证书颁发机构】

点击下一步，完成。

2.2 安装代理工具

所用代理工具为【Proxifier】汉化版本，下载地址：https://www.cckyedu.com/software/13717.html（！自行检测是否带毒！）。

点击【配置文件】，选择【代理服务器】

点击添加，代理地址和端口请与burpsuite保持一致，配置完成之后点击检查，检查通过之后一直点确定。

此时，需要定位到小程序的进程，可以先打开一个小程序，然后在任务管理器中进行定位，小程序的名称为WeChatAppEx.exe

展开之后，任意选择一个，然后鼠标右键，选择【打开文件所在的位置】

这是我电脑上面的程序位置

回到代理工具，点击【配置文件】，选择【代理规则】

进入规则之后，点击【添加】

点击浏览，选择微信小程序所在路径对应的程序，最下面的动作选择上面配置的127本地

只选择所配置的代理规则，然后点击确定

注意：以上三条规则中的每一项，请保持一致。

回到burp，任意打开一个小程序，即可抓到数据包。

三、测试方法

测试方法与web安全没有区别，只要是HTTP/HTTPS协议，都可以按照web安全的测试思路。