e0e1-wx 简介 1.还在一个个反编译小程序吗?2.还在自己一个个注入hook吗?3.还在一个个查看找接口、查找泄露吗?现在有自动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看...
登录框实战
看了那么多漏洞挖掘文章为什么还是挖不到漏洞?其实大多数的漏洞挖掘文章可能只能算漏洞复现文章。在这种web环境下,我觉得难的不是怎么测一个漏洞点,而是怎么找一个漏洞点。本文从挖洞过程的思路出发,完整讲述...
微信小程序/网页动态调试的方法
注意本文章只能作为学习用途, 造成的任何问题与作者无关, 如侵犯到你的权益,请联系删除。前排提示:建议小号,别被封了。。。github上常用的项目地址https://github.com/eeeeee...
逻辑缺陷导致的敏感数据泄露
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。记录一次授权的小程序测试,直接上正文。打开小程序,小程序整体功能如下。功能不多,简单的反编译小程序看了一下...
关于近期小程序测试的常见漏洞演示
本章节将为大家介绍一下小程序常见的漏洞的展示案例,包括支付业务逻辑漏洞、任意用户登录漏洞、水平越权漏洞等高危漏洞。以上小程序测试均获取授权,并且客户均已得到修复(仅供学习,请勿恶意攻击)关于微信小程序...
金盘图书馆微信管理后台信息泄露漏洞
免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。漏洞描述 北京金盘鹏图软件技术有限公司...
某小程序的支付漏洞+任意地址删除
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
小程序保护: 一步步实现getshell
忽然发现,写公众号那么久,我竟然没写过小程序相关的文章,借此机会,也分享一下个人对小程序的渗透之路吧。 网站有没有漏洞,三分靠运气,三分靠技术,剩下四分靠细心。 0.渗透思路 主要为两点 第一个是页面...
小程序解密反编译获取源码实现RCE
01文章前言 小程序除了抓包测试功能外,我们可以尝试解密并反编译,最后获取其源代码包,从中查看其源代码文件,运气好的话我们可以获取到其配置信息,以此深度控制小程序。 当然,也可能是另外一种...
小程序的支付漏洞和任意地址删除
0x01 概述 由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等...
wx小程序自动化辅助渗透 工具e0e1-wx
0x01 工具介绍 动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看泄露。 0x02 安装与使用 一、环境配置 1.配置wx文件夹位置配置,来到设置,查看文件管理对应...
记一次简单的在线商城漏洞挖掘解析
0x01 前言 最近事情比较多,一直没啥时间挖洞,正好今天简单挖点漏洞,并且讲一下思路原理,漏洞简单,没有RCE,目标是一个在线商城,本次信息收集采用互联网信息收集(包括不限于:s...