小程序登录过程中任意手机号登录漏洞修复

最新推荐文章于 2025-01-11 09:32:11 发布
置顶 最新推荐文章于 2025-01-11 09:32:11 发布
阅读量445 收藏 5
点赞数 11
分类专栏: 工作问题 文章标签: 小程序 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43954910/article/details/144373480
版权

项目场景:

微信小程序用户静默登录后点击授权手机号登录,存在安全问题,导致任意手机号进行登录。

问题描述

点击授权手机号的时候抓包
在这里插入图片描述

这里泄露了sessionKey、iv和encryptedData可以直接使用插件解密加密后实现任意用户登录

对应填好后点解密就可以看到明文然后修改手机号在点击加密就可以实现任意用户登录,把修改后的密文放回拦截的包中,放包实现任意登录。

原因分析:

1.微信提供授权手机号接口版本问题,实际上微信提供了新的接口,不使用sessionkey而是使用动态验证码获取手机号
2.企业方使用有误,后端获取sessionkey后不能把它一同发给前端再由前端发送给后端

解决方案:

1: 使用Redis存储每次的sessionKey,注意key要加上uuid作区分。

2: 换成新的授权方法,点击授权后微信会发一个动态码给前端,前端传给后端,后端根据动态码和APPID、APPSECRET向微信发请求获取用户信息。

解决后的反思:

  1. 使用Redis存储sessionkey时当时想的很简单,直接存入;leader说了句key是什么才明白key需要做区分。所以纸上学来终觉浅,得知此事要躬行!

  2. 可以看出就是因为微信提供的原始方法比较繁琐使用起来存在安全问题,它才提供新方法。作为后来者的眼光去看原方法确实很呆瓜,但这就是项目的演变过程,这种认识远比我用方法一去解决更重要!

漏洞挖掘】——165、业务处理之手机号码篡改测试
Fly_鹏程万里
09-14 366
手机号通常可以代表一个用户身份,当请求中发现有手机号参数时我们可以试着修改它测试是否存在越权漏洞,系统登录功能一般先判断用户名和密码是否正确,然后通过Session机制赋予用户令牌,但是在登录后的某些功能点开发者很容易忽略登录用户的权限问题,所以当我们用A的手机号登录后操作某些功能时抓包或通过其他方式尝试篡改手机号,可对这类问题进行测试。
用户枚举CSRF漏洞
hackzkaq的博客
12-04 816
结论:由于手机号11位的,因此,只要时间充裕,就能暴出所有的手机号登录成功以后呢,我们在修改个人信息页面,可以看到如下内容,点击修改个人信息,然后抓包—->选择CSRF_POC。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。更改手机号传参,这里手机号传参没有进行加密,直接用手机号的位置进行爆破。用之前的151的手机号测试,发现成功的时候返回数值如下code=0。在忘记密码处,先点击获取验证码,然后用任意填写6为验证码,抓包。免费领取安全学习资料包!
【实战】| X小程序任意用户登录
zkaqlaoniao的博客
09-29 609
实战演练, X小程序任意用户登录!干货全步骤!
如何挖掘任意用户登录漏洞
chengman3837的博客
03-29 747
0x01前言 本文参与i春秋现金奖励计划,未经允许,严禁转载。 0x02什么是任意用户登录漏洞 几乎每个网站都有自己的会员系统,有会员,就有登录机制,如果可以登录其他用户账户,那么就可以窃取其他用户的资料数据。如果配合上脚本的话,甚至可以批量获取用户的数据。对网站...
微信小程序安全问题与防范措施解析
light86的专栏
03-18 2924
微信小程序安全问题与防范措施解析
关于近期小程序测试的常见漏洞演示
weixin_48421613的博客
09-08 2281
本章节将为大家介绍一下小程序常见的漏洞的展示案例,包括支付业务逻辑漏洞任意用户登录漏洞、水平越权漏洞等高危漏洞
确定白捡的漏洞都不要?揭秘小程序有手就能挖的高危漏洞
2301_76168381的博客
01-24 1846
分享一个斯叔平时在渗透小程序的时候经常会碰到的一个漏洞任意手机号登录。其实也就是任意用户登录,只不过这个登录方式是通过手机号进行登录。问题点通常在小程序的“微信快捷登录”的地方。Such as 这种
常见漏洞危害和修复建议
u011975363的专栏
10-18 1949
web漏洞危害和修复建议
网银安全修复指南:从SQL注入到支付漏洞
"这篇文档是关于网银系统漏洞修复的综合指南,主要涵盖了常规高危漏洞和网银系统常见的安全问题。文档详细介绍了各种漏洞的原理、验证方法以及相应的修复方案,旨在提升金融行业的网络安全防护能力。" 文章内容详细...
日常测试Web安全常见漏洞修复建议
YeMaQingYu的博客
08-15 955
web安全常见漏洞修复建议 CSRF 1)重要功能增加确认操作或重新认证,例如支付交易、修改手机号码等 2)加验证码 3)每个会话中使用强随机令牌(token)来保护。 4)检验HTTP Referer SQL注入 1)在服务器端要对所有的输入数据验证有效性。 2)在处理输入之前,验证所有客户端提供的数据,包括所有的参数、URL和HTTP头的内容。 3)验证输入数据的类型、长度和合法的取值范围。 ...
安全课堂|关于小程序session_key泄露漏洞官方
mingyqf的博客
09-24 2685
为了保证数据安全,微信会对用户数据进行加密传输处理,所以小程序在获取微信侧提供的用户数据(如手机号)时,就需要进行相应的解密,这就会涉及到session_key,具体流程可参考。
【渗透测试】深度解析微信小程序漏洞挖掘!黑客技术零基础入门到精通教程建议收藏!
白帽阿叁的博客
11-27 3594
今天讲讲微信小程序渗透,无论是护网、src挖掘、攻防演练,微信小程序都可以成为突破口微信小程序和普通网页渗透相比有以下不同点:1、抓包方式不同,不能直接进行抓包2、不能直接进行调试,如果遇到小程序进行了加密传输,这种情况就比较棘手3、微信小程序有自己特有的漏洞4、某些微信小程序会进行一些限制,增加了测试难度针对以上情况,我会分为四个章节逐一进行解答:抓包篇、逆向篇、漏洞篇、技巧篇微信小程序渗透本质和浏览器网页渗透没啥区别,解决了这些不同点就可以像正常网页一样测试了。
浅谈微信小程序渗透
weixin_50464560的博客
04-27 4851
奇安信攻防社区-浅谈微信小程序渗透 0x0前言 最近好多小伙伴都在问怎么对微信小程序进行渗透,遂写篇文章抛砖引玉。 0x1环境准备 我使用的是夜神模拟器配合 burpsuite 进行抓包。夜神模拟器我使用的是6.6.1.1的版本,算是很老的版本了,内设系统为Android5.0。新的版本中安卓似乎都是7.0以上了,抓取 HTTPS 包会比较麻烦,所以我就一直没有换版本。如果有需要的朋友可以自取,后面会打包云盘在文章底部。 首先我们需要设置好抓包环境,先通过ipconfig查看我们当前 ip,这里我
论微信静默授权以及踩坑点
lmy1329160579的博客
09-28 2779
微信静默授权流程 微信授权是指用户在微信客户端中访问第三方网页时,公众号可以通过微信网页授权机制,来获取用户基本信息,进而实现自己的业务逻辑。而静默授权则仅能获取到微信openId。 授权流程 授权登录以snsapi_base为scope发起的网页授权,是用来获取进入页面的用户的openid的,并且是静默授权并自动跳转到回调页的。用户感知的就是直接进入了回调页(往往是业务页面)特点:用户无感知; 1.前端唤醒微信静默授权链接,该链接需与后端appId等信息一致。唤醒后,微信进行重定向到链接中拼接的redir
一文教会如何挖掘任意用户登录漏洞
2301_80115097的博客
11-21 1798
任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽,本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。
任意用户登录漏洞挖掘思路
jennycisp的博客
12-11 1267
任意用户登录漏洞以利用漏洞利用难度低、危害高、奖金高已经成为src/众测漏洞挖掘中的香饽饽,本文将分享一下众测/src中任意用户登录漏洞的挖掘思路。CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
微信授权登录全方案
最新发布
weixin_69174819的博客
01-11 3249
微信授权登录全方案
记一次小程序简单又坎坷的key泄露复现
Aa2428259602的博客
12-07 1365
key泄露
常见的登录逻辑漏洞及其修复方法
weixin_44030143的博客
04-21 941
密码可爆破的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

miss writer

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值