对某微信小网站的逻辑漏洞挖掘
○ 前言
○ 漏洞挖掘过程
◇ 网站主页
◇ 1.ID遍历,逻辑越权
◇ 2.泄露的wx配置文件
○ 声明
前言
NO.1
微信中有很多有趣的小游戏和互动网站,其中不乏有类似于好友默契测试,坦白说匿名说等。
这篇文章就是针对于某个好友默契测试的小网站的逻辑漏洞挖掘。
漏洞挖掘过程
NO.2
网站主页:
直接网页端访问,提示需要在微信客户端打开链接
不犹豫,直接配置好抓微信的数据包,一切准备就绪,成功抓到
1.ID遍历,逻辑越权
传统艺能,我们自己手动创建一份问卷,得到一个ID参数
抓包后发现两个参数ID
分别是,id=10912652,id=10912653
尝试遍历其他人的出题信息,可以手动设置
随机测试:1091261210912602
尝试到查看答案界面,提示付费1.9元?付费?这辈子不可能付费的!
此时回到已经回答完问题的程序中,重新把需要查看的ID放进去即可
注意以下标签即可
<divclass="option-itemactive">2.泄露的wx配置文件
声明
NO.3
本文作者:A
本文编辑:Yusa
感谢 A 师傅 (๑•̀ㅂ•́)و✧
往期回顾
扫码关注我们
天虞实验室为赛宁网安旗下专业技术团队,重点攻关公司业务相关信息安全前沿技术。
原文始发于微信公众号(天虞实验室):对某微信小网站的逻辑漏洞挖掘
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论