在日常的漏洞挖掘过程,经常会遇到某一系统存在多个不同端中,如常见的web端、桌面端、公众号端、小程序端、app端。在这些端中经常会遇到一些问题,这里常遇到的,如接口适用、隐藏接口、接口规则猜解等问题,...
SRC案例 | 某公司小程序四个漏洞挖掘过程
前言好不容易才抽点时间学习一下渗透,补天公益SRC上随手找了一家公司练手。因为公益SRC很多时候拼手速和资产收集,所以这次直接瞄准小程序开搞。漏洞一:逻辑漏洞找到第一个小程序然后微信登陆此小程序接着在...
某次Edu校友会通用型漏洞
0x00 漏洞介绍 漏洞名称:**某校友会小程序存在接口未鉴权问题 漏洞等级:中危 漏洞URL: https://asd.***.edu.cn/api/admin/config/get 漏洞信息:某校...
渗透测试完整思路及详解-信息收集第1篇
欢迎关注公众号:0x01 信息收集实思路-域名获取篇基于此大纲做详细描述补充1. 主域名收集 拿到一个目标,想要对该目标进行资产信息收集应该先寻找该目标的一些主域,通过对主域的收集可以方...
啊,酱紫越权?
啊,酱紫越权? 分享一个越权的新奇思路。某小程序,的个人档案界面 常规测试越权漏洞的思路 注册AB账号来进行测试 点击我的档案测试账号一填写信息用户A 测试账号二填写信息用户B 以及各自...
小程序一次一密流量解密
文章目录前言抓包调试思路解密案例 0x01前言: 目前越来越多的企业对互联网公开服务的数据报文进行流量加密的方式进行传输。但是不管是Web端还是APP端,只要是采用对称加密算法进行加密的话,那么攻击者...
华莱士领券活动漏洞,任意用户可领取免费套餐券,官方已报警
2 月 19 日晚,华莱士官方微博发布紧急声明,2 月 18 日,华莱士自助点餐小程序的本属于储值用户专享的免费套餐券被非法领取,且非法领取的套餐券将被作废处理,详细如图:也有网友晒图,确实被领取且兑...
浅谈微信小程序测试技巧
声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。一、前言新...
企业src:任意用户登录漏洞(高危)
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把LHACK安全“设为星标”,否则可能就看不到了啦!文末加交流群(惊喜),欢迎各位大牛师傅们来一起玩!为了提高小程序的安全性和用户体验,我们现在...
【实战】某小程序加密算法及sign签名逆向
原创文章web安全渗透技术 原创声明:转载本文请标注出处和作者,望尊重作者劳动成果!感谢! 前言:前面分享了小程序动态调试的方法,本文找了一个小程序来具体实战操作一下,如何调试出加密算法以及sign值...
带你在微信中开发一个 MQTT 模拟器小程序
IoT 物联网场景中,硬件终端开发涉及传感器针脚和电路板接线,固件编译和烧录,串口联调等,严重影响物联网项目整体推进效率。借助微信小程序的开放能力,基于 MQTT over WebSocket 通信方...
WireShark网络取证分析第五集
题目介绍这是一个早晨的仪式,莫尼曼尼一边啜饮着咖啡,一边快速浏览着夜里收到的邮件,其中一条消息引起了她的注意,因为它显然是通过了邮件过滤器的垃圾邮件,这条信息颂扬了在网上买药的好处并包含了一个网上药店...
26