使用命令: usage: wxapp.py [-h] [-i INTPUT_DIRPATH] [-o OUTPUT_DIRPATH] [-d] 命令行处理参数。 optional arguments:...
edu小程序挖掘严重支付逻辑漏洞
扫码领资料获网安教程本文由掌控安全学院 - 洛川 投稿来Track安全社区投稿~ 千元稿费!还有保底奖励~(https://bbs.zkaq.cn)声明:本文所有漏洞已提交修复了一、敏感信息泄露...
某微信万能门店小程序系统存在任意文件读取漏洞
点击上方蓝字关注我们 并设为星标 0x00 前言 █ 远山起风又起雾 无人知我来时路 █ 万能门店小程序DIY建站无限独立版非微擎应用,独立版是基于国内很火的ThinkPHP5框架开发的,适用于各行各...
Java(Script)Drive-By,无需0day攻击
Google Chrome 中的远程代码执行链允许攻击者在主机上执行代码,其成本可能高达25 万美元至 50 万美元。如今,这种能力通常只有政府和间谍机构才能拥有。但不久前,普通脚本小子也能获得类似的...
浅谈微信小程序反编译
扫码领资料获网安教程网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。0x1 前言这几天在跟着师傅一起学习微信小程序的相关...
小程序逻辑漏洞实战记录
点击蓝字,关注我们一次手势密码无限验证次数某次测试一个金融小程序,找了一圈一无所获。后来盯上了“手势密码”正常只可以输入5次输入错误的手势密码,只剩最后1次的时候重新进入小程序,发现重新记录输入次数,...
实战 | 某院校小程序记录
本文由掌控安全学院 - 郑居中 投稿 前言: 遇到一个学校小程序的站点,只在前端登录口做了校验,后端没有任何校验,奇葩弱口令离谱进去,站点里面越权泄露敏感信息,接管账号等漏洞!!! 渗透...
记一次小程序渗透测试
0x01 信息收集 信息收集 获取相应学号信息 0x02 渗透测试 搜集到相关小程序点击去注册 可任意注册,无相关认证,随意输入相关信息 注册账号为学号202015701 成功登录 点击个人中心在...
某2024版婚恋相亲小程序系统审计(0day)
点击上方蓝字关注我们 并设为星标 0x00 前言 █ 纸上得来终觉浅,绝知此事要躬行 █ 源码介绍: 红娘服务 红娘服务模块是该系统的一大特色。专业红娘会通过分析用户的个人资料和偏好, 为用户提供精准...
不一样的短信轰炸漏洞
GRADUATION点击蓝字 关注我们前言:记一次不一样的短信轰炸漏洞漏洞复现:正常流程:(有限制)小程序——登录——微信绑定手机号——继续——短信——验证——登录成功/登录失败;小程序——登录——不...
记一次实战小程序漏洞测试到严重漏洞
前言 本文记录了最近的一次src漏洞挖掘,并成功获取到严重漏洞的过程,漏洞本身就是几个接口的组合利用,但是其中小程序的代码的分析审计过程比较有趣,遂记录一下和大家分享。 准备工作 本文涉及到小程序的静...
知识吾爱纯净版小程序系统 leibiao SQL注入漏洞(XVE-2024-30663)
0x02 产品介绍 知识吾爱纯净版小程序系统是一款基于微信小程序平台开发的知识付费应用,旨在帮助用户快速建立自己的知识付费平台,实现支付变现和流量主收益。它提供了简洁明了的用户界面和良好的用户体验,同...