重大漏洞（已修复）

只要获取到小程序的appid和版本号，即可通过构造URL直接下载该小程序的源码wxapkg文件

关于 xxxxx.wxapkg

1. 小程序的源文件存放在哪？
2. 源文件怎么获取？
3. 拿到.wxapkg了，然后怎么用？

然而并没有完全解决

1. 使用安卓模拟器安装微信，打开对应的小程序

2. 设置root权限，打开RE管理器
3. /com.tencent.mm/MicroMsg/x/appbrand/pkg/xx.wxapkg
4. 压缩并发送至电脑
5. 使用反编译脚本解包wxapkg

具体步骤

让我们来试一下

举个栗子：

玩转故宫

小程序wxapkg包结构

Hex Fiend分析wxapkg文件

大部分字段是没有被加密的，可以直接看到文件的路径

如何拆解

1. 相同格式的文件对比，找到文件结构和意义；
2. 观察特殊形式，英文字符串或者PNG、ZIP格式的固定文件头，定位数据区的位置；
3. 对特定区域的二进制推理猜测，利用offset和size作为数据段索引；
4. 开发者工具的代码中的pack.js很容易发现一些对wx格式封装的痕迹；
5. wxapkg格式就是将wx格式的二进制文件进行了转化：Wxml -> Html、 Wxml -> JS、Wxss -> Css，其二进制格式跟后缀名与wx二进制格式完全一致

详细内容

解包后--提取页面逻辑

app-service.js

意外彩蛋：未开放的API

1. openUrl - 在小程序中打开外部网页；
2. getGroupInfo - 获得群的名称，群内成员的昵称等数据；
3. getOpenidToken - 获得用户openid；
4. chooseWeChatContact - 选择微信联系人；
5. checkIsSupportFacialRecognition - 检查是否支持面部识别
6. ........

其实并没有想象的那么完美

• wxml 文件拥有不同于 xml 和 html 文件的字符转义规则；

• js 文件被压缩后会丢失原始变量，wxss 文件压缩后的注释也会丢失；

• 一些被引用 wxss 文件本身的源文件丢失，无法恢复原始目录；

• 有些项目开启了es6转es5选项；

• wml 中一些无法找到相对应 的正向语句的内容无法还原;

• json 中components项丢失，仅会标注被其他包引用的自定义组件。

如何防止自己代码被盗

1.使用Uglify等工具打包

2.使用mpvue、wepy等小程序框架

最主要：还是要靠微信给力

前端代码安全

1.精简(minify)：ESLint , UglifyJs，YUI compressor ...

2.混淆(obfuscation)：编码混淆、标识符混淆、控制逻辑混淆等

3.加密(encryption)：base64、复杂化表达式、混合加密

4.编译(compile) : 字节码标准webAssembly

5.防止被调试 ： 监控是否打开了控制台

6.前后端协作 ： 不要在前端放敏感数据

小程序开发tips

1. 没有重构，要自己写样式 --UI库
2. 小程序开发框架 mpvue/wepy
3. 接口鉴权
4. 小程序登录openid和code校验
5. 有大量“半开源”代码

资源集合

参考：

GitHub : wxappUnpacker

小程序源码阅读笔记

GitHub ：wechat-app-unpack

wxapkg解析