声明

本文章所分享内容仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。

前言

去年年底的时候项目不是很多，但是还有，其中有一个渗透测试的项目，单位是做旅游景点相关的单位，这种单位其实挖掘点也不是很多，虽然小程序做的相对比较丰富，内容点看着比较多，但是实际的功能点很少。所以挖掘的时候也不是很抱太大的希望。

越权测试

访问小程序，打开过后没啥有用的功能点，随便点击了几个，然后来到我的选项模块，我的模块里面只有几个模块，其中有一个投诉模块。

点进去查看里面啥东西也没有，是一个添加投诉旅游景点服务的功能点，其中有一个添加的地方，这个地方可以进行投诉。

我们任意添加一个投诉信息，点击查看详情按钮，抓取数据包。

这里其实可以发现抓取的数据包id为583，这个通过渗透测试的直接来说这里大概率是存在越权的，而且查看请求包相关的请求字段也没有什么做校验或者鉴权的字段。

这里直接放入重放模块进行测试，通过发包可以发现泄露了用户手机号以及姓名等相关信息。

这里任意更改一下id值为较小的值，这里的id值是根据先后顺序来生成的，所以刚生成出来的id值肯定是最大值，如果查询584，585这些值肯定是没有的，所以我们可以查询较小的值来确定是否存在越权漏洞。

如上图所示，直接直接修改id值为62，发包，成功越权查询他人投诉信息，其中主要包含手机号，姓名，地点以及投诉内容等等。

原文始发于微信公众号（蓝云Sec）：文化局小程序的一次越权测试