小程序安全测试

面试官想考什么

  • 你的 Web 安全能力能否迁移到小程序。
  • 是否了解小程序接口、抓包、鉴权和业务逻辑测试。

你当前情况

目前没有深入做过小程序开发测试,但可以保守表达基础理解。

小程序安全测试关注点

  • 抓包和接口分析。
  • 登录态和 token。
  • 接口鉴权。
  • 水平越权。
  • 垂直越权。
  • 敏感信息泄露。
  • JS/小程序包中的接口和密钥。
  • 参数加密和签名。
  • 文件上传。
  • 业务逻辑漏洞。

基础流程

  1. 配置代理并抓包。
  2. 梳理接口列表。
  3. 分析登录和 token 机制。
  4. 测试越权和未授权访问。
  5. 查看小程序包和前端代码。
  6. 分析加密参数和签名。
  7. 测试上传、订单、用户中心等功能。

面试保守回答

1
2
3
小程序安全测试我目前没有深入做过,主要方向还是 Web 安全。但我了解小程序测试大致会关注抓包、接口鉴权、越权、敏感信息泄露、加密参数和业务逻辑问题。

如果遇到小程序测试,我会先抓包梳理接口和登录态,再重点测试 userId、orderId、fileId 等参数是否存在越权,检查接口是否未授权访问,以及小程序包或前端代码中是否泄露接口、密钥或敏感配置。