阅读须知
本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
2024/12/30 星期一
多云·西北风2级
//01 AppID与AppSecret介绍
AppID是微信小程序的唯一标识符,用于区分不同的小程序。登录微信公众平台,进入小程序管理后台。查看AppID:在“管理”-“开发管理”-“开发设置”中,可以找到小程序的AppID。AppID的作用是在小程序中与微信服务器进行通信,例如获取用户信息、支付等操作。用于校验小程序的合法性和权限,例如微信支付接口需要在微信开放平台注册,并绑定对应的AppID和AppSecret。在开发环境和发布上线时,AppID用于标识不同的小程序。
AppSecret是与AppID对应的密钥,用于对小程序进行签名加密,保障小程序的安全性。登录微信公众平台,进入小程序管理后台。查看AppID:在“管理”-“开发管理”-“开发设置”中,扫码认证后可以查看小程序的AppSecret。AppSecret的作用是在使用微信提供的一些高级接口时(如微信支付、数据分析等),需要使用AppSecret对请求进行签名,以保障接口调用的安全性。在调用微信提供的登录接口时,需要将AppSecret与code一起发送给微信服务器,以获取用户的唯一标识符。
//02 AppID与AppSecret能做什么
AppID与AppSecret可以调用接口获取临时登录凭证(access_token),用于在开发过程中验证用户身份。通过获取到的access_token可以在微信开发平台调式工具调用接口进行调式,可以理解为接管接口提供的一系列服务。
//03 如何获取AppID与AppSecret
第一种方法可以注册微信小程序账号:访问微信公众平台,选择“小程序”作为注册类型,填写相关信息并完成注册。进入小程序后台:登录微信公众平台,进入小程序管理后台。查看AppID:在“管理”-“开发管理”-“开发设置”中,可以找到小程序的AppID,使用管理员扫描扫描即可查看AppSecret。
第二种方法是在渗透测试中小程序可能会调用一些配置信息的接口,在这些接口里可能由于开发的疏忽会把AppID与AppSecret及其他配置信息直接暴露在前端代码中,可以获取AppID与AppSecret。
//04 AppID与AppSecret利用方式
1.需要通过调用接口获取临时登录凭证(access_token)。appid参数填写AppID,secret密钥填写AppSecret访问即可调用access_token。
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=wx123456&secret=123456
2.获取到access_token后可以在微信开发平台调式工具调用接口进行调式,选择常规调用,接口调用凭证类型选择access_token即可进行正常的接口调用。
https://api.weixin.qq.com/wxaapi/feedback/list?access_token=wx123
END
作者 | 剁椒Muyou鱼头
I like you,but just like you.
我喜欢你,仅仅如此,喜欢而已~
点赞在看不迷路哦!
原文始发于微信公众号(剁椒Muyou鱼头):【技术分享】微信小程序AppSecret秘钥利用方式
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论