前言
一般小程序都是都比较好测试,因为不像单纯的WEB网站一样需要登录后台或者注册进入才有比较多的功能点进行测试,反之小程序只需要访问就有大把的功能点进行测试,这次小程序就是功能点贼多。
信息泄露
这里访问小程序发现功能点很多,其中有一个群众点单功能点
点击进入发现很多的志愿活动相关页面,随便点击一处
抓包,哎嘿发现存在信息泄露,其它的文章或者页面也有
越权
发现了上一处的信息泄露猜测这个小程序漏洞肯定多,再测测中心派单功能点试试
点击进去也是类似的页面,任意点击一处
抓包发现大量数据,包括姓名,手机号,地址等信息还有很多xxxxid信息
这里在持续抓包的过程中还发现一个POST请求包,其中存在volunxxid字段,发送请求包成功但是没有数据
这里试着替换volunxxid字段值,这个值是从图六中得来的,因为没截全所以看不到,进行替换直接越权查看别人的用户信息
从这里可以发现该小程序存在大量越权点,其他的就不测试了,都差不多
原文始发于微信公众号(蓝云Sec):某事业单位多处越权漏洞测试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论