小程序 | CN-SEC 中文网

安全工具

自动化小程序反编译+自动寻找敏感信息工具(可批量)

使用命令： usage: wxapp.py [-h] [-i INTPUT_DIRPATH] [-o OUTPUT_DIRPATH] [-d] 命令行处理参数。 optional arguments:...

11月25日42 views评论

阅读全文

安全文章

edu小程序挖掘严重支付逻辑漏洞

扫码领资料获网安教程本文由掌控安全学院 - 洛川投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）声明：本文所有漏洞已提交修复了一、敏感信息泄露...

11月20日23 views评论

阅读全文

代码审计

某微信万能门店小程序系统存在任意文件读取漏洞

点击上方蓝字关注我们并设为星标 0x00 前言 █ 远山起风又起雾无人知我来时路 █ 万能门店小程序DIY建站无限独立版非微擎应用，独立版是基于国内很火的ThinkPHP5框架开发的，适用于各行各...

11月20日15 views评论

阅读全文

安全文章

Java（Script）Drive-By，无需0day攻击

Google Chrome 中的远程代码执行链允许攻击者在主机上执行代码，其成本可能高达25 万美元至 50 万美元。如今，这种能力通常只有政府和间谍机构才能拥有。但不久前，普通脚本小子也能获得类似的...

11月20日5 views评论

阅读全文

移动安全

浅谈微信小程序反编译

扫码领资料获网安教程网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。0x1 前言这几天在跟着师傅一起学习微信小程序的相关...

11月12日26 views评论

阅读全文

移动安全

小程序逻辑漏洞实战记录

点击蓝字，关注我们一次手势密码无限验证次数某次测试一个金融小程序，找了一圈一无所获。后来盯上了“手势密码”正常只可以输入5次输入错误的手势密码，只剩最后1次的时候重新进入小程序，发现重新记录输入次数，...

11月11日10 views评论

阅读全文

移动安全

实战 | 某院校小程序记录

本文由掌控安全学院 - 郑居中投稿前言：遇到一个学校小程序的站点，只在前端登录口做了校验，后端没有任何校验，奇葩弱口令离谱进去，站点里面越权泄露敏感信息，接管账号等漏洞！！！渗透...

11月08日17 views评论

阅读全文

安全文章

记一次小程序渗透测试

0x01 信息收集信息收集获取相应学号信息 0x02 渗透测试搜集到相关小程序点击去注册可任意注册，无相关认证，随意输入相关信息注册账号为学号202015701 成功登录点击个人中心在...

11月07日9 views评论

阅读全文

代码审计

某2024版婚恋相亲小程序系统审计(0day)

点击上方蓝字关注我们并设为星标 0x00 前言 █ 纸上得来终觉浅，绝知此事要躬行 █ 源码介绍: 红娘服务红娘服务模块是该系统的一大特色。专业红娘会通过分析用户的个人资料和偏好，为用户提供精准...

11月06日14 views评论

阅读全文

安全文章

不一样的短信轰炸漏洞

GRADUATION点击蓝字关注我们前言：记一次不一样的短信轰炸漏洞漏洞复现：正常流程：（有限制）小程序——登录——微信绑定手机号——继续——短信——验证——登录成功/登录失败；小程序——登录——不...

11月05日29 views评论

阅读全文

安全文章

记一次实战小程序漏洞测试到严重漏洞

前言本文记录了最近的一次src漏洞挖掘，并成功获取到严重漏洞的过程，漏洞本身就是几个接口的组合利用，但是其中小程序的代码的分析审计过程比较有趣，遂记录一下和大家分享。准备工作本文涉及到小程序的静...

11月04日68 views评论

阅读全文

安全漏洞

知识吾爱纯净版小程序系统 leibiao SQL注入漏洞(XVE-2024-30663)

0x02 产品介绍知识吾爱纯净版小程序系统是一款基于微信小程序平台开发的知识付费应用，旨在帮助用户快速建立自己的知识付费平台，实现支付变现和流量主收益。它提供了简洁明了的用户界面和良好的用户体验，同...

11月03日44 views评论

阅读全文

在线咨询

微信