微同商城小程序越权漏洞分析

最新推荐文章于 2024-05-06 15:46:37 发布
最新推荐文章于 2024-05-06 15:46:37 发布
阅读量385 收藏
点赞数
分类专栏: 逻辑缺陷漏洞 文章标签: 小程序 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/afeng12345678/article/details/132131434
版权

微同商城小程序越权漏洞分析

去年八月份挖的,已获得CNVD编号,近期准备跳槽决定拿出来水一下。

项目介绍

微同商城是Gitee平台上建站系统中排名第一的开源微信小程序商城(前后端开源:uniapp+Java),拼团、秒杀、优惠券、积分购物、直播卖货、分销等功能。

项目地址

http://fly2you.cn/
https://gitee.com/fuyang_lipengjun/platform

环境搭建:

部署方案1:后台:http://doc.fly2you.cn/start
部署方案2:微信小程序+后台:https://mp.weixin.qq.com/s/leAe8mYv46AcUU8Bcn_ULg

部署+测试工具:
后台:idea+mysql+redis+tomcat
前台:微信官方开发者工具+postman

注意事项:
运行小程序需要配置platform-admin\src\main\resources\dev/platform.properties文件中的wx.appId、wx.secret、wx.mchId(支付功能需要)
涉及小程序测试账号的申请参考:https://mp.weixin.qq.com/

漏洞复现

缺陷代码位置:platform-api\src\main\java\com\platform\api\ApiOrderController
缺陷方法:confirmOrder
代码审计过程中,发现微信小程序中用户确认收货方法confirmOrder存在越权漏洞。越权漏洞源于用户确认收货的方法中涉及订单的主键orderId传递到了前台并且可控,缺陷代码如下:
在这里插入图片描述

跟进orderService.queryObject和orderService.update方法,发现未校验传入的orderId是否属于当前登录用户本身,因此存在越权漏洞。
在这里插入图片描述

1、使用微信开发者工具运行小程序,开启调试器。
在这里插入图片描述

2、进入 我的—>订单列表
在这里插入图片描述

3、点击待收货的订单,进入订单详情页面,再点击确认收货
在这里插入图片描述

4、刚才提到开启了调试器,可获取到确认收货方法的请求confirmOrder,如下
在这里插入图片描述

5、点击confirmOrder,右键选择 Copy - Copy as cURL (bash)
在这里插入图片描述

6、打开Postman(测试工具),在Postman 中选择 File—>Import —>Paste Raw Text,将复制的 cURL bash 命令粘贴进去,点击Continue再点击import完成导入。
在这里插入图片描述

7、选择Body,修改orderId的VALUE为20(非当前登录用户的)

备注1:当前小程序登录用户为测试员1号,为了证明越权漏洞的存在,将orderId的值替换为其他用户的,若执行成功,则证明漏洞存在。
备注2:本项目数据库nideshop_order表中默认只有一条id为20的数据,下图测试员1号的数据需要自己添加进去。
在这里插入图片描述
在这里插入图片描述

8、点击Send,Response返回确认收货成功。
在这里插入图片描述

9、登录后台管理系统,发现发货状态为已收货,越权漏洞复现完成!

在这里插入图片描述

修复建议

增加权限校验,即判断confirmOrder方法中传递的orderId是否属于当前登录用户。

hkyj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
仿微同商城前端
qq_40077167的博客
04-27 1083
仿微同商城前端1.前言2.项目3.图片 1.前言 本项目使用vue2.6+typescript3.8进行组件式开发 技术: vue-cli::快速构建vue项目 vue-router:路由管理(动态路由,嵌套路由,组件传参,编程式导航,路由元信息,路由懒加载) vuex:状态管理(State,Getter,Mutation,Action,Module) vant:轻量、可靠的移动端 Vue 组件...
业务逻辑攻防-业务逻辑篇&水平越权&垂直越权&未授权访问&检测插件
siu~
01-09 639
1、逻辑越权-检测原理-水平&垂直&未授权 2、逻辑越权-检测项目-BURP插件 3、SRC挖掘-实战越权及未授权挖掘分享案例
网络安全----小程序渗透测试反编译审计漏洞
最新发布
ytdd66的博客
05-06 974
微信小程序反编译渗透测试是一种针对微信小程序安全测试方法,是在通过对小程序源代码的反编译和分析,发现潜在的安全漏洞,并对其进行渗透测试以验证其安全性的一种方法。
漏洞挖掘——针对小程序漏洞挖掘
2301_77472496的博客
09-04 1183
全套《黑客&网络安全入门&进阶学习资源包》
针对小程序漏洞挖掘
aobulaien001的博客
06-01 860
Burp+Fiddler+windows版本微信你也可以直接用burp+windows版微信,进行抓包,如果出现网络错误,直接用Fiddler抓包然后发给burp进行测试。这里我是直接下载的汉化版,本人英语不太好,打开Fiddler,选择工具,然后点击选项,然后在HTTPS处,勾选上。选择最右侧的操作按钮,选择将根证书导出到桌面。然后将证书导入到浏览器。手机端的话,无线网络直接设置上Fiddler的代理地址和端口,这里我设置的9999端口,然后访问x.x.x.x:9999端口,下载证书 安装即可。
关于近期小程序测试的常见漏洞演示
weixin_48421613的博客
09-08 1076
本章节将为大家介绍一下小程序常见的漏洞的展示案例,包括支付业务逻辑漏洞、任意用户登录漏洞、水平越权漏洞等高危漏洞
微信小程序客户端渗透测试
03-14
在服务端层面,主要是依据微信小程序的特性,模拟攻击者从SQL注入、越权访问、文件上传、CSRF以及信息泄露等漏洞方面进行测试,这个其实与常规的web安全测试类似。 本此主要是对客户端测试的总结,包括操作流程,所...
Web漏洞检测及修复方案.doc
05-17
Web 漏洞检测及修复方案是指对 Web 应用程序的漏洞进行检测和修复,以确保 Web 应用程序的安全性。该方案涵盖了认证和授权类、命令执行类等多种类型的漏洞,旨在帮助开发者和安全专家快速检测和修复 Web 漏洞。 ...
web安全漏洞加固手册
06-22
本文档是关于 Web 安全漏洞加固手册的详细指南,旨在帮助开发者和安全专家了解和解决...本文档提供了详细的 Web 安全漏洞加固方案,旨在帮助开发者和安全专家了解和解决常见的 Web 安全漏洞,保护 Web 应用程序的安全
Web安全深度剖析(张柄帅)
07-25
全书分4 篇共16 章,除介绍Web 安全的基础知识外,还介绍了Web 应用程序中最常见的安全漏洞、开源程序的攻击流程与防御,并着重分析了“拖库”事件时黑客所使用的攻击手段。此外,还介绍了渗透测试工程师其他的一些...
微同开源社区 Java开源微信小程序商城框架源码
08-08
源码简介: 微同商城是一个以 Java 进行开发的微信小程序商城源码。 减少重复造轮子,开源微信小程序商城(前后端开源:uniapp+Java),快速搭建一个属于自己的微信小程序商城
微同商城开源微信小程序商城(前后端开源:uniapp+Java) 快速搭建一个属于自己的微信小程序商城
10-28
使用须知 允许 个人学习使用 允许用于学习、毕设等 允许进行商业使用,请自觉遵守使用协议,如需要商业使用推荐购买商业版源码 请遵守 Apache License2.0 协议,再次开源请注明出处 推荐Watch、Star项目,获取项目第一时间更新,同时也是对项目最好的支持 希望大家多多支持原创作品 项目结构 platform |--_sql 初始化数据库脚本 |--platform-admin 后台管理(打包发布此项目) |--platform-api 微信小程序商城api接口 |--platform-common 公共模块 |--platform-gen 代码生成 |--platform-schedule 定时任务 |--uni-mall uniapp版商城 |--wx-mall 微信小程序原生商城
戟星安全实验室|五分钟教你挖掘小程序漏洞
m0_61431042的博客
12-02 1820
现在大多小程序反编译教程所使用的都是node.js,操作过程较为麻烦,那有没有简单好用的工具呢?
存在链接注入漏洞_【安全提示】CNVD发布上周关注度较高的产品安全漏洞(20201214-20201220)...
weixin_39990410的博客
12-23 364
境外厂商产品漏洞1、Oracle WebLogic存在未授权访问漏洞WebLogic是美国Oracle公司出品的Java应用服务器,WebLogic 是用于开发、集成、部署和管理大型分布式 Web 应用、网络应用和数据库应用。Oracle WebLogic存在未授权访问漏洞,攻击者可利用该漏洞获取服务器控制权限。参考链接:https://www.cnvd.org.cn/flaw/show/CNVD...
微信小程序用户未授权bug解决方法,微信小程序获取用户信息失败解决方法
热门推荐
a_靖的博客
05-15 5万+
微信小程序开发交流qq群 173683895 承接微信小程序开发。扫码加微信。 正文: bug示例图: 导致这个bug的原因是wx.getUserInfo(OBJECT) 接口做了调整; 请看官方文档的描述: wx.getUserInfo(OBJECT) 注意:此接口有调整,使用该接口将不再出现授权弹窗,请使用<button open-type="get...
比较不错的 Gitee 开源 GVA项目推荐
私欲日生,如地上尘,一日不扫,便又有一层。着实用功,便见道无终穷,愈探愈深,必使精白无一毫不彻方可。
01-18 1100
1.JeeSite(SSM+Shiro)后台管理 项目地址:https://gitee.com/thinkgem/jeesite?_from=gitee_search 2.微同商城 (包含微信小程序 基本组件和要素模块较全) 项目地址:https://gitee.com/fuyang_lipengjun()/platform?_from=gitee_search 3.spring-boot-seckill秒杀类(涉及高并发,分布式锁,Redis,ZooKeeper,分布式,消息队列,线程池) 项目地址:ht
如何在idea上运行码云的微同商城
smallxiongxu的博客
12-18 679
首先在码云上找到微同商城下载压缩包 然后解压maven导入到idea中 创建数据库导入SQL语句 修改联接数据库的用户名和密码 配置Tomcat 点开Deployment修改 然后运行 ps:Tomcat用9可能报错 运行的时候打开redis要不然出不来验证码 ...
水平越权漏洞漏洞成因和处置建议
07-07
水平越权漏洞是一种安全漏洞,指的是攻击者通过修改或伪造请求参数、会话标识或其他身份验证机制,以获取未经授权的访问权限或执行特权操作。以下是水平越权漏洞的成因和处置建议: 成因: 1. 不恰当的身份验证和授权机制:系统可能存在缺陷的身份验证和授权机制,未正确验证用户的权限或未正确限制用户的操作范围。 2. 不安全的会话管理:会话标识可能易于猜测、被劫持或未正确管理,导致攻击者能够访问其他用户的会话数据或执行特权操作。 3. 缺乏输入验证和过滤:未正确验证和过滤用户输入,攻击者可以通过修改请求参数实现越权操作。 处置建议: 1. 实施严格的身份验证和授权机制:确保系统正确验证用户身份和权限,并根据用户的权限限制其操作范围。 2. 安全的会话管理:使用随机、复杂且不易预测的会话标识,并确保会话标识在传输和存储过程中得到适当的保护。 3. 输入验证和过滤:对用户输入进行严格验证和过滤,确保只接受有效和预期的输入,并防止攻击者通过修改请求参数来实现越权操作。 4. 最小特权原则:在授权用户时,应遵循最小特权原则,只授予用户完成所需任务所需的最低权限级别。 5. 定期安全审计:对系统进行定期的安全审计,发现和修复可能存在的水平越权漏洞。 6. 持续安全培训和意识提高:教育开发人员、管理员和用户关于水平越权漏洞的风险和防范措施,增强他们对安全问题的意识。 通过以上措施,可以有效减少水平越权漏洞的风险,并提升系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值