对某微信小网站的逻辑漏洞挖掘
○ 前言
○ 漏洞挖掘过程
◇ 网站主页
◇ 1.ID遍历,逻辑越权
◇ 2.泄露的wx配置文件
○ 声明
前言
NO.1
微信中有很多有趣的小游戏和互动网站,其中不乏有类似于好友默契测试,坦白说匿名说等。
这篇文章就是针对于某个好友默契测试的小网站的逻辑漏洞挖掘。
漏洞挖掘过程
NO.2
网站主页:
直接网页端访问,提示需要在微信客户端打开链接
不犹豫,直接配置好抓微信的数据包,一切准备就绪,成功抓到
1.ID遍历,逻辑越权
传统艺能,我们自己手动创建一份问卷,得到一个ID参数
抓包后发现两个参数ID
分别是,id=10912652,id=10912653
尝试遍历其他人的出题信息,可以手动设置
随机测试:1091261210912602
尝试到查看答案界面,提示付费1.9元?付费?这辈子不可能付费的!
此时回到已经回答完问题的程序中,重新把需要查看的ID放进去即可
注意以下标签即可
<divclass="option-itemactive">
2.泄露的wx配置文件
声明
NO.3
本文作者:A
本文编辑:Yusa
感谢 A 师傅 (๑•̀ㅂ•́)و✧
往期回顾
扫码关注我们
天虞实验室为赛宁网安旗下专业技术团队,重点攻关公司业务相关信息安全前沿技术。
原文始发于微信公众号(天虞实验室):对某微信小网站的逻辑漏洞挖掘
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论