免责声明
本公众号所发布的文章及工具只限交流学习,本公众号不承担任何责任!如有侵权,请告知我们立即删除。
一、小程序抓包
在家呆了两个月,很久没有去实战了,为了保证自己不会变废,最近复习了以前自己的实战和朋友给的案例,顺便给大家分享分享。
打开某小程序,微信授权登陆,全程开启BP代理(不拦截),登陆之后暂时不身份认证。
二、替换BP历史流量
在BP的HTTP历史流量里随便找一个包Ctrl+R放入重放器中,已知之前在某小程序上发现某接口泄漏用户身份信息,将下方请求URL替换掉第三步随意抓取的请求URL
`/association-api/api/common/associator/getUserInfoAndMemberInfo?userId=342002F919874EFF9B731DF7C6C6BA93`
三、替换userid
将获取到的userid替换到刚刚发现的能够获取用户信息的请求中,可以发现该处返回了用户的敏感信息:姓名、手机号、身份证号、认证方式教职工等。
四、举一反三扩大危害
点击小程序的其他功能进行互动
点击进入后,分析BP历史流量,可以发现在图中的请求接口中,有返回用户的userId信息,将userId填入到泄漏敏感信息的接口,可以看到能够查询到大量的用户敏感信息:姓名、手机号、家庭地址、身份证等。
回到这个泄漏userid的接口,将该请求Ctrl+R放置重载器中,通过调节limit字段为100,可以查看响应包,能够返回100份数据,可想而知如果将其改为20000,那么至少可以将所有的的敏感信息都能获取。
总结
原文始发于微信公众号(追梦信安):SRC经验分享-BP历史流量找到的信息泄露
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论