首先，让我们抱怨。最近，我在FB上阅读了这篇文章。通常，底层有越来越多的概念。有许多难以理解的概念，没有勇气打开它。  Web级别上的文档越来越少，价值也越来越少。这最近已反映在法典信托基金中。 PWN是世界上最好的..网络问题的基本难点是大杂烩。汇总一个问题） 也许现在有更多的圈子可以盈利，各种小圈子的收费是共享机制（我觉得这个机制非常好，技术也是无价的。） 好的，这是..我现在就知道了。  所谓的投标测试，你测量的洞越多，安全测试就越好，与渗透不同。它似乎有点圆，例如，横幅泄露，apache版本泄露，这种基本无害也可以算是漏洞，也可以加分。 没什么可说的，开始测试（以下可能有点尴尬，很容易让大家看到。），我直接用手机测试过。 第一个坑： 访问微信小程序会显示访问超时？  说明网站使用https，你需要通过证书，安装没问题。 完成后，我愉快地打开了我的小程序，发现TM数据包已加密。我开始测试的是情绪低落。我发现测量中只有一些漏洞，而且真的很疼。幸运的是，在我的夜晚的研究中，我去了深夜，发现了加密方法和密钥（据说是动画到12点）  第二个坑： 如何获取微信applet的加密方法？ 微信小程序包实际上存储在本地。只要访问微信小程序，他的包就会自动下载到本地。检查了半天的数据后，我终于将wxapkg包下载到本地，然后下载了解包工具，就可以得到小程序前端的代码（最好不要使用nodejs解包方法） 使用前端代码，从JS中提取加密方法，密钥等非常简单。它是ECB加密。将数据包放入解码中，最后解码。我看到了解码的JSON字符串。我想最终能够衡量业务逻辑漏洞。所以第三个坑来了。 第三坑 这个坑给了我一个晚上，因为这不是我的问题，这是解码网站的问题。 （这也是本文吐出的主要场所）首先连接两个解码站点：http://tool.chacuo.net/cryptaeshttp://www.seacha.com/tools/aes.html 从图中可以看出，加密数据由密钥解密，结果值相同。 然后看下面的图片： 确实，互相翻译和解密没有问题。 看下面的另一张图： 看看这张照片，我可能遇到过形而上学。这还是ECB吗？ 添加双引号有这么大的区别吗？然后看下面的图片： 看完这张照片之后，我吐了一点旧血，你甚至把我编码..我接过了。 我们来谈谈下面的原则。上图左侧部分的网站将转换我输入的{a=b，c=“d”}中的双引号，首先是html，然后是ECB加密。 所以这里有一句话，上面并不需要理解，记住：我们将使用这个网站进行解密。 还有一点，如果您觉得网站非常麻烦，您可以将解密集成到打嗝中，这很方便。 文章不涉及技术，只涉及思想，每个人都有兴趣按照想法做事，踩到自己的坑，毕竟，如果我把所有的步骤放在地图上，一步一步将限制思路大人物。 顺便说一句，SRC的活动最近已经出来了，可以去赚钱了。 文章中的任何错误或彼此讨论的知识都可以在评论中加以评论。 *作者：一只老鼠 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。