漏洞挖掘 | 记一次src挖掘-小程序敏感信息泄露

闲言

就现在的一个web漏洞挖掘强度还是非常高的,所以我们不妨把我们的眼光投向一个之前可能未曾涉及到的区域---------小程序

是的微信小程序,这玩意的防范能力和过滤能力其实对比web方向是要弱小很多的

进入正题

以下就是我的一个小程序漏洞挖掘的小实例

进入小程序,先第一步是我们得注册好一个自己的账号

然后投入一个访客认证(信息认证的功能,在这还一切正常)

我们不需要写入真实的信息,只要投入成功这个漏洞就成功一大半了(右边的截图是我所投的)

然后我们打开代理,打开bp(其实我一直开着哈)

挖洞小技巧:我们bp可以一直挂着然后时刻关注每一步的请求包和返回包

选择抓包,在"我的申请"这个功能中,点一下发出的那个申请

呐呐呐,更改红圈里的id字段就可以查看到不同人写入的信息

里面全是敏感信息喔(公民三要素)

接下来对id号进行了一个数量900的遍历(就是bp爆破器),好家伙几乎全部中标

到这里就点到为止了,三要素和数量都够

tips:漏洞已经提交,仅作为经验分享~

更多网络安全优质免费学习资料与干货教程加

送渗透工具、技术文档、书籍,面试题、视频(基础到进阶。环境搭建,HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔记、学习路线。

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

相关推荐
代码哈士奇几秒前
使用vite+vue3+ElementPlus+pinia搭建中后台应用-前端
前端·vue3·管理系统·vite7
亿元程序员3 分钟前
当一个Cocos博主被问有没有Unity教程...
前端
huangyuchi.6 分钟前
【Linux网络】Socket编程实战,基于UDP协议的Echo Server
linux·运维·服务器·udp·socket·客户端·网络通信
头发还没掉光光7 分钟前
Linux多线程之生产消费模型,日志版线程池
linux·运维·开发语言·数据结构·c++
lkx0978813 分钟前
笔记C++语言,太焦虑了
前端·c++·笔记
勇敢di牛牛15 分钟前
【css】快速上手Flexbox布局(理论讲解+实战)
前端·css3
2501_9387802818 分钟前
服务器 Web 安全:Nginx 配置 X-Frame-Options 与 CSP 头,防御 XSS 与点击劫持
服务器·前端·安全
广然21 分钟前
跨厂商(华为 & H3C)防火墙 IPSec 隧道部署
服务器·网络·华为
Gold Steps.23 分钟前
常见的Linux发行版升级openSSH10.+
linux·运维·服务器·安全·ssh
游戏开发爱好者827 分钟前
iOS 抓包工具实战 开发者的工具矩阵与真机排查流程
android·ios·小程序·https·uni-app·iphone·webview