这里之所以推荐这个,正是因为上述的小程序已经解密完成,那么接下来做的肯定是小程序的的代码审计,如果采用人工审计核查的方式固然可以,但是效率极低,那么这时候就可以用CodeBuddy
在我看来这个就是对标Trae的产品,根据使当前用情况来看Buddy优势很大,至少在代码审计的方面是这样的,接下来对比同样的话术下给两个平台展示他们给出的结果。
首先是使用Buddy生成了9个新的文件,展示的漏洞效果明显,视觉效果更好,不仅仅在报告中生成了请求包,还根据漏洞点生成了可以验证漏洞的python脚本,但是这也有一个缺点就是其中有一个模型情况下不支持上传图片。
接下来是Trae,总计就发现了三个漏洞,总结报告车轱辘话太多,重点关注的项目变成了审计范围
至于这两个能够验证漏洞的准确性,目前暂未验证,后续使用时间长了再分享吧,至于这次的对比更倾向于使用Buddy话术:该项目为微信小程序本地解密后结果现在需要你对其进行代码审计,发现漏洞及风险点,找出所有的接口点及访问地址,重点关注信息泄露、未授权访问、逻辑漏洞、SQL注入、文件上传、命令执行等等,根据发现的漏洞编写代码审计报告,并且每个漏洞要有对应复现的请求包
3.免费领取腾讯云服务器
该活动还是与 CodeBuddy 相关,活动期间推广该程序,累计使用 7 日即可获得 3 个月腾讯云服务器,配置虽不高,但用于测试、弹 Shell 完全够用。若仅注册使用而非累计 7 日,仅赠送 1 个月使用时长。
CodeBuddy下载链接:
https://www.codebuddy.cn/promotion/?ref=c7n03yin9b3y28q
https://github.com/Jaysen13/jaysenwxapkg?tab=readme-ov-file
后台回复0203获取文章中提及的所有内容
