漏洞挖掘 | 记一次src挖掘-小程序敏感信息泄露

闲言

就现在的一个web漏洞挖掘强度还是非常高的,所以我们不妨把我们的眼光投向一个之前可能未曾涉及到的区域---------小程序

是的微信小程序,这玩意的防范能力和过滤能力其实对比web方向是要弱小很多的

进入正题

以下就是我的一个小程序漏洞挖掘的小实例

进入小程序,先第一步是我们得注册好一个自己的账号

然后投入一个访客认证(信息认证的功能,在这还一切正常)

我们不需要写入真实的信息,只要投入成功这个漏洞就成功一大半了(右边的截图是我所投的)

然后我们打开代理,打开bp(其实我一直开着哈)

挖洞小技巧:我们bp可以一直挂着然后时刻关注每一步的请求包和返回包

选择抓包,在"我的申请"这个功能中,点一下发出的那个申请

呐呐呐,更改红圈里的id字段就可以查看到不同人写入的信息

里面全是敏感信息喔(公民三要素)

接下来对id号进行了一个数量900的遍历(就是bp爆破器),好家伙几乎全部中标

到这里就点到为止了,三要素和数量都够

tips:漏洞已经提交,仅作为经验分享~

更多网络安全优质免费学习资料与干货教程加

送渗透工具、技术文档、书籍,面试题、视频(基础到进阶。环境搭建,HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔记、学习路线。

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

相关推荐
岑梓铭5 分钟前
(CentOs系统虚拟机)Standalone模式下安装部署“基于Python编写”的Spark框架
linux·python·spark·centos
努力学习的小廉6 分钟前
深入了解Linux —— make和makefile自动化构建工具
linux·服务器·自动化
m0_748255266 分钟前
easyExcel导出大数据量EXCEL文件,前端实现进度条或者遮罩层
前端·excel
MZWeiei9 分钟前
Zookeeper基本命令解析
大数据·linux·运维·服务器·zookeeper
7yewh25 分钟前
嵌入式Linux QT+OpenCV基于人脸识别的考勤系统 项目
linux·开发语言·arm开发·驱动开发·qt·opencv·嵌入式linux
长风清留扬27 分钟前
小程序毕业设计-音乐播放器+源码(可播放)下载即用
javascript·小程序·毕业设计·课程设计·毕设·音乐播放器
Arenaschi28 分钟前
在Tomcat中部署应用时,如何通过域名访问而不加端口号
运维·服务器
小张认为的测试29 分钟前
Linux性能监控命令_nmon 安装与使用以及生成分析Excel图表
linux·服务器·测试工具·自动化·php·excel·压力测试
waicsdn_haha36 分钟前
Java/JDK下载、安装及环境配置超详细教程【Windows10、macOS和Linux图文详解】
java·运维·服务器·开发语言·windows·后端·jdk
打鱼又晒网37 分钟前
linux网络套接字 | 深度解析守护进程 | 实现tcp服务守护进程化
linux·网络协议·计算机网络·tcp