【技术分享】微信小程序AppSecret秘钥利用方式

admin 2024年12月30日12:34:18评论10 views字数 1613阅读5分22秒阅读模式
【技术分享】微信小程序AppSecret秘钥利用方式

阅读须知

【技术分享】微信小程序AppSecret秘钥利用方式

本公众号文章皆为网上公开的漏洞,仅供日常学习使用,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把剁椒Muyou鱼头“设为星标”,否则可能就看不到了啦!
【技术分享】微信小程序AppSecret秘钥利用方式
【技术分享】微信小程序AppSecret秘钥利用方式

2024/12/30 星期一

多云·西北风2级

//01 AppID与AppSecret介绍

AppID是微信小程序的唯一标识符,用于区分不同的小程序。登录微信公众平台,进入小程序管理后台。查看AppID:在“管理”-“开发管理”-“开发设置”中,可以找到小程序的AppID。AppID的作用是在小程序中与微信服务器进行通信,例如获取用户信息、支付等操作。用于校验小程序的合法性和权限,例如微信支付接口需要在微信开放平台注册,并绑定对应的AppID和AppSecret。在开发环境和发布上线时,AppID用于标识不同的小程序。

    AppSecret是与AppID对应的密钥,用于对小程序进行签名加密,保障小程序的安全性。登录微信公众平台,进入小程序管理后台。查看AppID:在“管理”-“开发管理”-“开发设置”中,扫码认证后可以查看小程序的AppSecret。AppSecret的作用是在使用微信提供的一些高级接口时(如微信支付、数据分析等),需要使用AppSecret对请求进行签名,以保障接口调用的安全性。在调用微信提供的登录接口时,需要将AppSecret与code一起发送给微信服务器,以获取用户的唯一标识符。

【技术分享】微信小程序AppSecret秘钥利用方式

//02 AppID与AppSecret能做什么

    AppID与AppSecret可以调用接口获取临时登录凭证(access_token),用于在开发过程中验证用户身份。通过获取到的access_token可以在微信开发平台调式工具调用接口进行调式,可以理解为接管接口提供的一系列服务。

【技术分享】微信小程序AppSecret秘钥利用方式

//03 如何获取AppID与AppSecret

    第一种方法可以注册微信小程序账号:访问微信公众平台,选择“小程序”作为注册类型,填写相关信息并完成注册。进入小程序后台:登录微信公众平台,进入小程序管理后台。查看AppID:在“管理”-“开发管理”-“开发设置”中,可以找到小程序的AppID,使用管理员扫描扫描即可查看AppSecret。

第二种方法是在渗透测试中小程序可能会调用一些配置信息的接口,在这些接口里可能由于开发的疏忽会把AppID与AppSecret及其他配置信息直接暴露在前端代码中,可以获取AppID与AppSecret。

【技术分享】微信小程序AppSecret秘钥利用方式

//04 AppID与AppSecret利用方式

    1.需要通过调用接口获取临时登录凭证(access_token)。appid参数填写AppID,secret密钥填写AppSecret访问即可调用access_token。

https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=wx123456&secret=123456
【技术分享】微信小程序AppSecret秘钥利用方式

    2.获取到access_token后可以在微信开发平台调式工具调用接口进行调式,选择常规调用,接口调用凭证类型选择access_token即可进行正常的接口调用。

【技术分享】微信小程序AppSecret秘钥利用方式
     3.网上还有一些部分接口可以直接URL拼接调用,比如调用评论接口,只需要输入获得到的access_token即可实时调用,当然在接口文档中也能查到。

https://api.weixin.qq.com/wxaapi/feedback/list?access_token=wx123

【技术分享】微信小程序AppSecret秘钥利用方式

END 

作者 | 剁椒Muyou鱼头

I like you,but just like you.

我喜欢你,仅仅如此,喜欢而已~

点赞在看不迷路哦!

原文始发于微信公众号(剁椒Muyou鱼头):【技术分享】微信小程序AppSecret秘钥利用方式

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月30日12:34:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【技术分享】微信小程序AppSecret秘钥利用方式https://cn-sec.com/archives/3570361.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息