前言 越权漏洞相信大家不是很陌生,大家肯定都知道,就跑跑id值或者替换一下其他用户的id值看看可不可以越权。大致一般是这样子的思路,这里深情哥给大家讲价值1500的不一样的越权思路。 挖掘过程 在20...
06月11日20 views评论id
小程序
不一样的越权漏洞
06月11日20 views评论id
小程序
06月11日20 views评论id
小程序
新手上路之微信小程序反编译
点击蓝字关注我们微信小程序之反编译安装node.js下载nodejs,下载后直接安装即可检查是否安装完毕,打开cmd,输入:node -v获取小程序源码文件首先在微信打开需要反编译的小程序,目的是让微...
06月04日47 views评论反编译
小程序
e0e1-wx小程序自动化辅助渗透工具
e0e1-wx 简介 1.还在一个个反编译小程序吗?2.还在自己一个个注入hook吗?3.还在一个个查看找接口、查找泄露吗?现在有自动化辅助渗透脚本了,自动化辅助反编译、自动化注入hook、自动化查看...
05月31日59 views评论反编译
小程序
登录框实战
看了那么多漏洞挖掘文章为什么还是挖不到漏洞?其实大多数的漏洞挖掘文章可能只能算漏洞复现文章。在这种web环境下,我觉得难的不是怎么测一个漏洞点,而是怎么找一个漏洞点。本文从挖洞过程的思路出发,完整讲述...
05月30日39 views评论域名
页面
微信小程序/网页动态调试的方法
注意本文章只能作为学习用途, 造成的任何问题与作者无关, 如侵犯到你的权益,请联系删除。前排提示:建议小号,别被封了。。。github上常用的项目地址https://github.com/eeeeee...
05月29日152 views评论wechat
小程序
逻辑缺陷导致的敏感数据泄露
声明:请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。记录一次授权的小程序测试,直接上正文。打开小程序,小程序整体功能如下。功能不多,简单的反编译小程序看了一下...
05月20日18 views评论小程序
逻辑缺陷
关于近期小程序测试的常见漏洞演示
本章节将为大家介绍一下小程序常见的漏洞的展示案例,包括支付业务逻辑漏洞、任意用户登录漏洞、水平越权漏洞等高危漏洞。以上小程序测试均获取授权,并且客户均已得到修复(仅供学习,请勿恶意攻击)关于微信小程序...
05月19日113 views评论小程序
手机号码
金盘图书馆微信管理后台信息泄露漏洞
免责声明 文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。漏洞描述 北京金盘鹏图软件技术有限公司...
05月19日67 views评论小程序
敏感信息
某小程序的支付漏洞+任意地址删除
免责声明由于传播、利用本公众号狐狸说安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号狐狸说安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会...
05月19日18 views评论小程序
支付漏洞
小程序保护: 一步步实现getshell
忽然发现,写公众号那么久,我竟然没写过小程序相关的文章,借此机会,也分享一下个人对小程序的渗透之路吧。 网站有没有漏洞,三分靠运气,三分靠技术,剩下四分靠细心。 0.渗透思路 主要为两点 第一个是页面...
05月18日35 views评论burp
getshell
小程序解密反编译获取源码实现RCE
01文章前言 小程序除了抓包测试功能外,我们可以尝试解密并反编译,最后获取其源代码包,从中查看其源代码文件,运气好的话我们可以获取到其配置信息,以此深度控制小程序。 当然,也可能是另外一种...
05月18日15 views评论rce
反编译
小程序的支付漏洞和任意地址删除
0x01 概述 由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等...
05月18日10 views评论小程序
支付漏洞
31