小程序 - 第 22 | CN-SEC 中文网

移动安全

一次对小程序的安全测试

前言自2019年开始，中央网信办、工业和信息化部、公安部和国家市场监管总局在全国范围内组织开展App违法违规收集使用个人信息专项治理工作，加大个人信息保护力度。《个人信息保护法》增加了对于App个人信...

06月07日137 views评论

阅读全文

安全闲碎

safari调试小而美的小程序

safari调试小而美的小程序前言按之前的操作，无论是在手机上也好，pc端也好都是需要通过工具解包，然后将解包导入开发者工具，来实现js调试，会有一些问题，例如code是否有效（需要进行替换），一堆报...

06月05日109 views评论

阅读全文

云安全

零零信安：2023年Q1外部攻击面分析报告-银行篇

随着企业数字化转型进入深水区，企业的“云足迹”和资产暴露正以前所未有的速度扩张，攻击面也在同步扩大，CrowdStrike Falcon Surface数据显示，企业云环境中暴露的资产中有30%存在严...

06月05日69 views评论

阅读全文

移动安全

【实操：小程序+App+Web】使用Burpsuite识别短信轰炸漏洞

本文先讲解被短信轰炸后应该如何进行处理，同时使用Burpsuite最新版对web+app+小程序常见入口进行抓包检测是否存在短信轰炸漏洞。被短信轰炸怎么办首先是：先举报，后拦截。打开：https://...

06月05日152 views评论

阅读全文

移动安全

APP渗透—微信小程序、解包反编译、数据抓包

0.前言由于都是发自己的文章，所以也不会有那么多的内容发布，最近的这个APP系列知识更新完，后续将更新内网或者工具类。0.1.免责声明传播、利用本公众号剁椒鱼头没剁椒所提供的信息而造成的任何直接或者间...

06月05日119 views评论

阅读全文

移动安全

安卓APP/小程序渗透测试技巧总结

0x00 前言由于安卓7开始对系统安全性做了些改动，导致应用程序不再信任客户端证书，除非应用程序明确启用此功能。所以我们抓取https流量包时会出现证书失效、加密、无法访问等问题。下面记录一...

06月02日64 views评论

阅读全文

移动安全

小程序反编译实战

在平常小程序测试当中，我们可以把小程序进行反编译查看小程序内部API接口进行一个详细的测试环境依赖安装nodejs安装WxAppUnpacker，然后执行npm install安装依赖链接：https...

05月31日110 views评论

阅读全文

移动安全

微信小程序渗透——反编译小程序

作者：骁隆，转载于作者博客来源：https://www.onctf.com/1、介绍微信小程序渗透时，因为小程序没有网页端页面，所以不能直接访问抓包分析，如果需要抓包分析，一般就是要么用电脑上的安卓模...

05月25日144 views评论

阅读全文

安全闲碎

【诈骗揭秘】全新网络诈骗模式，利用闲鱼+支付宝联合诈骗后续

2023年5月6号更新蚂蚁漏洞中心https://security.alipay.com/submitRecord.htm需要说明的是这个漏洞在我撰写文章之前已经提交，蚂蚁这里驳回了说明可能有人之前已...

05月15日129 views评论

阅读全文

移动安全

小程序任意用户登录漏洞案例

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！任意用户登录漏洞点击该小程序的登录并进行抓包把该请求包放到repeater，可以看到该返回包中存在retcode：s，s的意思是成...

04月28日106 views评论

阅读全文

移动安全

针对小程序的漏洞挖掘

0x00 前言承接上一篇APP业务挖洞的碎碎念，此篇文章主要是针对小微信程序的漏洞挖掘，微信小程序默认是直接使用自己微信登陆的，我们对小程序的漏洞挖掘，关注点还是在逻辑漏洞上面，下面将从环...

03月17日75 views已关闭评论

阅读全文

移动安全

加密之仿佛加了又仿佛没加系列

“阿珍爱上了阿强，在一个有星星的夜晚”“所以这跟你写文章有啥关系”“噢，没有关系，我只是想唱一句。。。。哎哎哎别打脸，我说我说。。。。当你抓个包动不动就是密文乎脸，而你只能脸上笑嘻嘻，心里mmp的时候...

03月17日133 views评论

阅读全文

在线咨询

微信