扫码领资料

获网安教程

本文由掌控安全学院 - 子沐 投稿

来Track安全社区投稿~  

千元稿费！还有保底奖励~（https://bbs.zkaq.cn）

权当是一次漏洞挖掘的思路分享

闲言

就现在的一个web漏洞挖掘强度还是非常高的，所以我们不妨把我们的眼光投向一个之前可能未曾涉及到的区域———小程序
是的微信小程序，这玩意的防范能力和过滤能力其实对比web方向是要弱小很多的

进入正题

以下就是我的一个小程序漏洞挖掘的小实例

进入小程序，先第一步是我们得注册好一个自己的账号

然后投入一个访客认证（信息认证的功能，在这还一切正常）

我们不需要写入真实的信息，只要投入成功这个漏洞就成功一大半了（右边的截图是我所投的）

然后我们打开代理，打开bp（其实我一直开着哈）

挖洞小技巧：我们bp可以一直挂着然后时刻关注每一步的请求包和返回包

选择抓包，在“我的申请”这个功能中，点一下发出的那个申请

呐呐呐，更改红圈里的id字段就可以查看到不同人写入的信息

里面全是敏感信息喔（公民三要素）

接下来对id号进行了一个数量900的遍历（就是bp爆破器），好家伙几乎全部中标

到这里就点到为止了，三要素和数量都够

tips：漏洞已经提交，仅作为经验分享~

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！
分享本文到朋友圈，可以凭截图找老师领取
上千教程+工具+靶场账号哦
原文始发于微信公众号（掌控安全EDU）：漏洞挖掘 | 记一次src挖掘-小程序敏感信息泄露