好久没写文章,今天来水一篇 ,一天客户准备上线一个新的小程序,需要在上线前测试一下新业务的安全性,安服仔上线滴滴;保密需要已经打码,漏洞也已经修复了。
工具推荐
https://github.com/eeeeeeeeee-code/e0e1-wx 微信小程序自动反编译
逻辑漏洞
在小程序登录页面中,在输入账户密码登录时,看返回响应包参数 code =1
{"code":"1"}
{"code":"0"}
使用拦包功能修改返回响应的code 将 1 修改为 0,就成功登录小程序页面了
任意文件上传漏洞
使用e0e1-wx 工具 将微信小程序反编译为源码,分析小程序代码接口
其中 UptoImg接口的参数,有可能是文件上传功能的,访问看看,直接报错了,开发不严谨啊,将代码都展示出来
move_upload_file() 函数 可以看出该代码是文件上传的,我们直接构造上传包就可以了
直接上传个phpinfo()
有成果了本次安全测试完成,安服仔该写报告下班了
总结
本次测试没有高深的技术,都是常规的操作,总的来说就是开发不按规范写代码
