啊,酱紫越权? 分享一个越权的新奇思路。某小程序,的个人档案界面 常规测试越权漏洞的思路 注册AB账号来进行测试 点击我的档案测试账号一填写信息用户A 测试账号二填写信息用户B 以及各自...
02月21日14 views评论cnvd
小程序
啊,酱紫越权?
02月21日14 views评论cnvd
小程序
02月21日14 views评论cnvd
小程序
小程序一次一密流量解密
文章目录前言抓包调试思路解密案例 0x01前言: 目前越来越多的企业对互联网公开服务的数据报文进行流量加密的方式进行传输。但是不管是Web端还是APP端,只要是采用对称加密算法进行加密的话,那么攻击者...
02月21日34 views评论burpsuite
加密
华莱士领券活动漏洞,任意用户可领取免费套餐券,官方已报警
2 月 19 日晚,华莱士官方微博发布紧急声明,2 月 18 日,华莱士自助点餐小程序的本属于储值用户专享的免费套餐券被非法领取,且非法领取的套餐券将被作废处理,详细如图:也有网友晒图,确实被领取且兑...
02月20日14 views评论华莱士
小程序
浅谈微信小程序测试技巧
声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。一、前言新...
02月20日29 views评论burpsuite
小程序
企业src:任意用户登录漏洞(高危)
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把LHACK安全“设为星标”,否则可能就看不到了啦!文末加交流群(惊喜),欢迎各位大牛师傅们来一起玩!为了提高小程序的安全性和用户体验,我们现在...
02月19日11 views评论小程序
用户数据
【实战】某小程序加密算法及sign签名逆向
原创文章web安全渗透技术 原创声明:转载本文请标注出处和作者,望尊重作者劳动成果!感谢! 前言:前面分享了小程序动态调试的方法,本文找了一个小程序来具体实战操作一下,如何调试出加密算法以及sign值...
02月17日23 views评论加密
小程序
带你在微信中开发一个 MQTT 模拟器小程序
IoT 物联网场景中,硬件终端开发涉及传感器针脚和电路板接线,固件编译和烧录,串口联调等,严重影响物联网项目整体推进效率。借助微信小程序的开放能力,基于 MQTT over WebSocket 通信方...
02月15日13 views评论小程序
物联网
WireShark网络取证分析第五集
题目介绍这是一个早晨的仪式,莫尼曼尼一边啜饮着咖啡,一边快速浏览着夜里收到的邮件,其中一条消息引起了她的注意,因为它显然是通过了邮件过滤器的垃圾邮件,这条信息颂扬了在网上买药的好处并包含了一个网上药店...
02月15日7 views评论wireshark
小程序
众测案例分享
No.0前言在众测中,找到了很多奇奇怪怪的漏洞,感觉很值得和大家分享一下No.1某助手小程序通过前端泄露的登录包,进行未授权登录到后台访问小程序:访问小程序的时候,发现业务的核心是在终端号和扫码识别等...
02月10日13 views评论小程序
未授权
微信小程序漏洞之accesskey泄露
✎ 阅读须知 本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!! 1. Accesskey泄露漏洞 这篇文章里面都是以我个人的视角来进行的,因为一些原因,中间删了好多东西,肯定...
02月09日16 views评论反编译
小程序
一次项目上的渗透测试
免责申明本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。0x00 前言 在一天中午,自己正在...
02月09日8 views评论burp
渗透测试
渗透实战 | 从外网直接打到内网全过程
这次渗透是一个从0到1,从外网到拿下域控的实战过程,希望可以给大家一些思路 正文 目标:www.xxxx.com(一家教育机构) 打开是一个登录框,只能是手机号+密码或者手机号+验证码且并未开放注册功...
02月07日33 views评论信息收集
小程序
25