记一次小程序渗透

这次的小程序渗透刚好每一个漏洞都相当经典所以记录一下。

目录

前言

漏洞详情

未授权访问漏洞/ 敏感信息泄露(高危)

水平越权(高危)

会话重用(高危)

硬编码加密密钥泄露(中危)

参数溢出(低危)

 跨域资源共享不当(低危)

总结


前言

关于小程序渗透的方法在前面文章有提及,可以自行去查看学习。

APP渗透总结_app渗透测试 和 web一样么-CSDN博客

漏洞详情

未授权访问漏洞/ 敏感信息泄露(高危)

这是一个经典的漏洞,当抓取数据包出现通过openid或者number等进行查询信息时,可以将这个条件删去,查看是否存在未授权访问漏洞。

把这个openid删去,发现可以未授权访问所有用户的信息

更改pagesize即可获取所有人员的信息,这是一个非常严重的信息泄露。

水平越权(高危)

可以通过修改openid来访问他人的信息列表(openid可以从上面信息泄露获得),造成水平越权漏洞。

修改openid,查看他人的信息列表

会话重用(高危)

测试用户退出系统后服务器的session还未失效。即使用户已经退出登录,攻击者依然可以修改用户的信息。

先在登录时抓取用户修改信息的数据包,然后退出登录,重放数据包,发现修改信息成功。

硬编码加密密钥泄露(中危)

可以使用unvelir工具对小程序apk进行反编译,然后使用Fortify工具进行代码扫描,扫描出来代码中出现硬编码加密密钥,也使用微信开发者工具查看反编译后的源代码找到硬编码的加密密钥。

这里的是一个百度地图的加密密钥,攻击者如果获取密钥,可以进行大量请求地图服务资源进行消耗,从而影响正常用户的使用体验;以及可以利用密钥创建虚假的活动中心、停车等信息,引导用户前往,算一个中危漏洞。

参数溢出(低危)

参数溢出也是一个非常常见的漏洞,主要出现在输入框内,由于前端没有进行限制,导致攻击者可以输入长字符串,引发服务器崩溃。

 跨域资源共享不当(低危)

系统允许服务器响应任意来源的请求,存在跨域资源共享配置不当。

抓取数据包,修改origin参数,查看返回包数据

 

总结

总的来说,在遇到根据ID类似查询的,要有意识尝试未授权访问漏洞,因为可能主要的思路还是进行水平越权,也要关注会话重用,这一个肯定是多数没有了解到的,另外的硬编码加密密钥这种就比较少出现了,参数溢出和跨域资源共享这两个也要足够敏锐。(这些话是作者的心理独白,对自己的警示)。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/37004.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

熟练掌握爬虫技术

一、Crawler、Requests反爬破解 1. HTTP协议与WEB开发 1. 什么是请求头请求体,响应头响应体 2. URL地址包括什么 3. get请求和post请求到底是什么 4. Content-Type是什么1.1 简介 HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)…

整合 Mybatis Plus

什么是 MyBatis Plus? MyBatis Plus (简称 MP) 是一款持久层框架,说白话就是一款操作数据库的框架。它是一个 MyBatis 的增强工具,就像 iPhone手机一般都有个 plus 版本一样,它在 MyBatis 的基础上只做增强…

NOI大纲——普及组——编码

编码 ##ASCLL码 ASCII码(American Standard Code for Information Interchange,美国信息交换标准代码)是一种基于拉丁字母的字符编码方案,主要用于表示文本数据。ASCII码包含128个字符(0-127)&#xff0c…

2024最新boss直聘岗位数据爬虫,并进行可视化分析

前言 近年来,随着互联网的发展和就业市场的变化,数据科学与爬虫技术在招聘信息分析中的应用变得越来越重要。通过对招聘信息的爬取和可视化分析,我们可以更好地了解当前的就业市场动态、职位需求和薪资水平,从而为求职者和招聘企业提供有价值的数据支持。本文将介绍如何使…

python自动化办公之PyPDF2

用到的库:PyPDF2 实现效果:打开pdf文件,把每一页的内容读出来 代码: import PyPDF2 # 打开pdf文件 fileopen(friday.pdf,rb) # 创建pdf文件阅读器对象 readerPyPDF2.PdfReader(file) # 获取pdf文件的总页数 total_pageslen(rea…

Amazon Q——2023 re:Invent 大会的 AI 革新之星

引言 在2023年的 re:Invent 大会上,亚马逊云科技(亚马逊云科技)不仅展示了包括 Amazon Graviton3、Amazon SageMaker Studio Lab、Amazon Connect Wisdom、Amazon QuickSight Q 和 Amazon Private 5G 在内的多项创新产品,还发布了…

【python爬虫】豆瓣爬虫学习

文章目录 网页地址爬虫目标技术栈爬虫代码注意事项 Python爬虫学习:我们可以选择一个相对简单的网站进行数据抓取。这里以抓取“豆瓣电影Top250”的信息为例,这个网站提供了丰富的电影数据,包括电影名称、评分、导演、演员等信息。 网页地址…

AI大模型技术在音乐创造的应用前景

大模型技术在音乐创作领域具有广阔的应用前景,可以为音乐家、作曲家和音乐爱好者提供以下方面的帮助。北京木奇移动技术有限公司,专业的软件外包开发公司,欢迎交流合作。 音乐创作辅助:大模型可以帮助音乐家和作曲家生成旋律、和声…

Win脚本开机自启ALIst和RClone

转自个人博客:https://www.jjy2023.cn/2024/05/23/win%e8%84%9a%e6%9c%ac%e5%bc%80%e6%9c%ba%e8%87%aa%e5%90%afalist%e5%92%8crclone/ 在配置完alist和rclone之后,就只需要每次开机启动两者就行了,所以感觉使用AListHelper没有必要&#xff…

算法金 | 协方差、方差、标准差、协方差矩阵

大侠幸会,在下全网同名「算法金」 0 基础转 AI 上岸,多个算法赛 Top 「日更万日,让更多人享受智能乐趣」 抱个拳,送个礼 1. 方差 方差是统计学中用来度量一组数据分散程度的重要指标。它反映了数据点与其均值之间的偏离程度。在…

Flask无法Debug

问题描述 Flask Debug的时候,可能会无法进入断点。我使用的是pycharm CE版本。 解决方案 确保pycharm安装路径不带空格。(带空格路径导致debug程序启动报错)Gevent compatible,这个东西老的pycharm版本必须勾选它,新…

中霖教育靠谱吗?在职备考一建好通过吗?

中霖教育靠谱吗?在职备考一建好通过吗? 课程设置:报名后会进行测评,了解学员的知识掌握情况、时间安排和记忆思维特点等,制定更适合的学习计划。 课程以考试通过为目标,去繁化简,只讲有用的干货,帮助快…

Python的GIL

Python的GIL是什么?它对多线程编程有什么影响? GIL(全局解释器锁)是Python解释器中的一个机制,它是为了保证在任何时刻只有一个线程执行Python字节码。GIL的存在主要因为Python的内存管理和垃圾回收机制是线程不安全的…

使用Vite工具创建项目,并使用Vue Router步骤

步骤 1: 安装 Vite 首先,确保你的电脑上已经安装了Node.js和npm。然后,通过以下命令全局安装Vite(如果已经安装,请跳过此步骤): npm install -g create-vite步骤 2: 创建新的Vue项目 使用Vite创建一个新…

Python 学习之标准库(二)

Python标准库是指Python编程语言自带的一组模块和包,它们是Python语言的核心组成部分,为开发者提供了丰富的功能和工具,帮助快速实现各种功能需求。以下是对Python标准库的一些主要内容和模块的归纳: 1. 数学计算: a.…

Python驱动的智能客服系统构建实录

Python驱动的智能客服系统构建实录 作为技术领域的老将,今天我打算带大家深挖一个热门应用——智能客服系统,并且如何通过Python这门万能钥匙,结合前沿的深度学习技术,赋予其更为人性化、高效的沟通能力。同时,我们不…

VLOOKUP函数在表格的简单运用-两个表匹配

1.什么是VLOOKUP? VLOOKUP是Excel中的一个内置函数,主要用于在区域或表格的首列查找指定的值,并返回该行中其他列的值。它特别适用于跨表格数据匹配 2.函数运用 2.1.这边两个表取名a表和b表,做为我们的实例表。 表格a包含&…

第二十一站:Java的多彩之旅终结篇

异步编程与反应式系统:应对高并发挑战 随着互联网应用对响应速度和并发处理能力要求的提高,Java生态系统也与时俱进,引入了异步编程模型和反应式编程框架,以应对现代应用的挑战。 异步编程 Java 8引入了CompletableFuture&…

JavaScript高级程序设计(第四版)--学习记录之迭代器与生成器(上)

什么是迭代? 迭代的意思是按照顺序反复多次执行一段程序。循环是迭代机制的基础,因为它可以指定迭代的次数,以及每次迭代要执行的操作。 迭代器模式 迭代器模式描述了一个方案,可以把有些结构称为“可迭代对象” ,这些…

基于 DJYOS 的 HMI 场景研究:探索智能生活的无限可能

引言: 在当今数字化时代,人机界面(HMI)技术的发展正深刻改变着我们的生活方式。DJYOS 作为一款先进的操作系统,为 HMI 产品的开发提供了强大的支持。本文将深入探讨基于 DJYOS 的 HMI 场景,展示其在智能家…