某银行的渗透测试3月末就接到这个项目了,但是中间拖拖拉拉,一直到最近几天,才有时间测试吧开工前期沟通:采用IP白名单+uat环境+客户提供账号进行渗透看了一眼提供的资产,存在公众号,小程序,APP。因...
04月03日52 views评论小程序
渗透测试
某银行的渗透测试
04月03日52 views评论小程序
渗透测试
04月03日52 views评论小程序
渗透测试
漏洞挖掘 | 某医院小程序支付漏洞+越权
扫码领资料获网安教程本文由掌控安全学院 - 葵先生 投稿某医院小程序存在支付漏洞和越权查看他人身份证,手机号,住址等信息一个医院线上的小程序登陆后点击个人信息,抓包,放到repQeter模块,修改st...
04月02日31 views评论小程序
漏洞挖掘
edusrc证书站漏洞挖掘(垂直越权)
点击「蓝色」字体关注我们!一眼定睛来到该小程序使用统一身份认证登录后来到如下这个位置今日排班接口处泄露uid小程序所有鉴权都是靠 uid 鉴权的借助泄露的uid值我们重新回到统一登录进行登录抓取响应包...
03月24日40 views评论小程序
漏洞挖掘
API权限控制不严泄露敏感信息
点击蓝字 关注我我干嘛来了?我来水文章,有师傅问我怎么挖的敏感信息,我说捡的,都不信。(本文没有排版,懒得排版,能看就行)1、网站听说某校重新上了证书,虽然我有洞,但是没金币,只好又去打一遍,看看...
03月23日16 views评论敏感信息
未授权
针对微信小程序的渗透测试实战
免责声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢...
03月23日27 views评论burp
渗透测试
(最详细)Charles+Burp+手机联动抓取WX小程序/公众号数据包
目录 微信小程序/公众号抓包的主流方式 目前有以下几种: 1、Windows+Burp+Proxifier(配置困难,数据包卡顿) 2、Burp+安卓模拟器(模拟器卡顿) 3、Burp+Charles...
03月21日527 views(最详细)Charles+Burp+手机联动抓取WX小程序/公众号数据包已关闭评论burp
小程序
小程序绕过 sign 签名
之前看到了一篇文章 小程序绕过sign签名思路 之前在做小程序渗透时也遇到了这种情况,但是直接放弃测试了,发现这种思路后,又遇到了这种情况,记录下过程并没有漏洞分享,仅仅是把小程序也分享出来,方便大家...
03月20日23 views评论wechat
小程序
反编译微信小程序渗透测试技巧-渗透测试
0x01 前言这是一次项目中所遇见的一个案例,感觉比较典型便记录了下来。漏洞已经修复了多数截图也找不到了,目前就只能提供一个大致的思路。末尾可领取字典等资源文件0x02 反编译小程序 在...
03月18日35 views评论小程序
渗透测试
微信小程序反编译工具
点击蓝字 关注我们免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权...
03月15日66 views评论小程序
网络安全
渗透测试之App与小程序工具总结
扫码领资料获网安教程Burpsuite抓包问题由于如今的应用已经逐渐对安卓应用的版本都在提高,有部分应用已经只兼容来安卓9了,不兼容安卓7,因此刚开始的时候可能会发现模拟器能抓到浏览器的包,但是抓不到...
03月13日25 views评论frida
渗透测试
高危思路:sessionkey泄露导致接管账户
* 本文涉及到相关漏洞已报送厂商并修复,本文仅限技术讨论和研究,严禁用于非法用途,否则产生后果自行承担基本概念session_key指的是会话密钥,可以简单理解为微信开放数据AES加密的密钥,它是微信...
03月13日357 views评论小程序
账户接管
漏洞挖掘|从edusrc转战到企业src的漏洞挖掘
0x01 前言 在日常挖掘漏洞的过程中,本想拿点edusrc,毕竟还没挖过相关方向的,动不动就是学生认证,社工、账号收集本就是让我头脑发热的 本次漏洞基本上以API接口延展的,中间经历了文...
03月11日44 views评论信息泄露
漏洞挖掘
31