小程序 - 第 8 | CN-SEC 中文网

安全漏洞

无铭科技存在juhecurl前台任意文件读取和SSRF漏洞

1漏洞描述公网上的后端较少，一般都在二级目录下，搜索引擎找不到，实战中可通过小程序查到后端。 2漏洞复现首页 GET方式访问 3网络测绘"无铭科技" 4漏洞POC /api/Ems/ju...

07月08日13 views评论

阅读全文

移动安全

抓取微信小程序流量数据的方法（超简单）

最近疯狂遇到有人问小程序抓包。。。fiddler+burp的联动实现对电脑端小程序数据包的抓取1.先完成了burp端的配置端口的配置浏览器设置代理证书安装访问http://burpsuit/cert或...

07月05日15 views评论

阅读全文

安全文章

记某大学智慧云平台存在弱口令爆破/水平越权信息泄露/Wx_SessionKey篡改任意用户登录漏洞

文章作者：先知社区（routing）文章来源：https://xz.aliyun.com/t/149456 1► 前言本篇文章是记录最近给一所大学做渗透测试时该学校存在的漏洞（目前已经修复）。我是...

07月04日21 views评论

阅读全文

V小程序自动化辅助渗透脚本

1.还在一个个反编译小程序吗？ 2.还在自己一个个注入hook吗？ 3.还在一个个查看找接口、查找泄露吗？现在有自动化辅助渗透脚本了，自动化辅助反编译、自动化注入hook、自动化查看泄露注：本工具...

07月03日安全工具21 views评论

阅读全文

安全文章

奇技淫巧-不一样的越权漏洞

edu案例湘南第一深情，公众号：湘安无事教育园src第一天之js逆向小技巧 src案例湘南第一深情，公众号：湘安无事【很深情的奇技淫巧】捡个src中危漏洞 edu上分案例2 湘安无事-梦中，公众号...

07月02日32 views评论

阅读全文

安全工具

自动化小程序渗透工具

01 简介 1.还在一个个反编译小程序吗？ 2.还在自己一个个注入hook吗？ 3.还在一个个查看找接口、查找泄露吗？现在有自动化辅助渗透脚本了，自动化辅助反编译、自动化注入hook、自动化查看泄露...

07月02日23 views评论

阅读全文

安全文章

漏洞挖掘 | 记一次edusrc轻松拿下中危信息泄露

本文由掌控安全学院 - 子沐投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn） 1.前言也是一次漏洞挖掘的思路分享上次我们讲过了关于小程序...

06月30日39 views评论

阅读全文

移动安全

【实战】| X小程序任意用户登录

本文由掌控安全学院 - 郑居中投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）在登录小程序时，都会遇到是否一键登录或或授权，方便用户的登录...

06月29日28 views评论

阅读全文

移动安全

渗透测试中针对微信小程序AppSecret秘钥泄露的利用方式

前言针对小程序和公众号的渗透测试，咱们都知道只要拿到开发者ID(AppID)和开发者密码(AppSecret)，咱们即可结束此次测试。拿到Appid和Appsecret之后咱们大概率可...

06月23日1,165 views评论

阅读全文

移动安全

微信小程序抓包(最新版)

本次抓包以PC端最新版3.8.8为例，相比之前3.7版本微信进程名有变化，确保可以正常抓取小程序流量。一、背景微信小程序已经深入到我们的生活中，一般公司除常见的Web网站、手机App客户端，也会开发对...

06月22日219 views评论

阅读全文

安全文章

漏洞挖掘 | 记一次src挖掘-小程序敏感信息泄露

扫码领资料获网安教程本文由掌控安全学院 - 子沐投稿来Track安全社区投稿~ 千元稿费！还有保底奖励~（https://bbs.zkaq.cn）权当是一次漏洞挖掘的思路分享闲言就现在的一个web...

06月20日22 views评论

阅读全文

安全工具

微信小程序强制开启开发者工具（非常详细）

支持版本列表感谢志远大佬的WeChatOpenDevTool开源代码只是把node改用python3重写，简单实现了一些自动化问题，重要代码都是原作者的。 Windows 微信版本小程序版本是...

06月11日175 views评论

阅读全文

在线咨询

微信