某小程序文件上传,URL重定向

最新推荐文章于 2024-03-07 21:36:23 发布
最新推荐文章于 2024-03-07 21:36:23 发布
阅读量189 收藏 2
点赞数 11
分类专栏: 小程序渗透-实战 web渗透-实战 文章标签: 小程序 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45748106/article/details/136171144
版权
本文讲述了作者在测试某小程序时发现的登录界面安全问题,包括URL重定向绕过登录验证、使用弱口令登录以及文件上传漏洞,揭示了小型网站安全存在的薄弱环节。
摘要由CSDN通过智能技术生成

某小程序到谋网站

小程序,app,web端的安全其实类似,其都能联系到web安全上来。
本次是从某小程序登陆界面发现登录网址,从而进行一系列测试

提示:以下是本篇文章正文内容,仅供学习。xdm切记,点到为止,证明存在就行,再往下就不礼貌了。

一、URL重定向跳转(未授权访问绕过登录)

访问找到的后台地址

https://xxx.com/login?redirect=%2Findex

发现有redirect,尝试url跳转
在这里插入图片描述

https://xxx.com/login?redirect=%2Findex?xxx.com

矮黑,绕过去了
在这里插入图片描述

相关存在url的参数:
redirect
redirect_to
redirect_url
redirectUrl
callback
toUrl
fromUrl
request
oauth_callback
url
go
jump
jump_to
target
service
to
returnUrl
goTo
link
linkto
domain
return
locationUrl
r_url

二、弱口令

进去之后看到账号才发现登陆管理员是个弱口令。。。

【弱口令才是yyds】
在这里插入图片描述

在这里插入图片描述

三、文件上传

在后台上传文件,上传jpg类型,抓包修改参数为html,得到文件存储路径,访问解析
在这里插入图片描述

在这里插入图片描述
响应包中暴露出文件上传之后的路径
在这里插入图片描述
访问
在这里插入图片描述

总结:

无心插柳柳成荫,有心栽花花不开
就想找个通用,不小新点歪了,遂有此遇。网站太小,安全威胁太多,瞄了一眼还有sql,xss这种的,但是下班了,嘿嘿提桶跑
路权重不够,提交之后不收。。但是搞不明白,网站现在给关了什么鬼

南栀未暖
关注
  • 11
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微信小程序 空白页重定向解决办法
08-30
主要介绍了微信小程序 空白页重定向解决办法的相关资料,需要的朋友可以参考下
vue或F12报错:Redirected when going from “/login?redirect=%2Findex“ to “/index“ via a navigation guard.
看星星睡觉觉
06-22 2736
分析问题:vue router升级导致没有向下兼容。解决方法:路由router中添加如下代码。
(四)前端路由与登录拦截器——vue+springBoot实战
qq_40959369的博客
06-25 1862
#hash模式和history模式(深入了解) #登录拦截 方式之一:后端拦截,这种方法需要将前端打包,部署到后端 #拦截器的简单逻辑 1)用户访问URL 2)检测该URL是否为登录界面 3)是则不拦截,不是则检测是否为登录状态 4)登录状态不拦截,未登录则跳转到登录界面 #前端拦截 Vuex:它是专门为 Vue 开发的状态管理方案,我们可以把需要在各个组件中传递使用的变量、方法定义在这里 引入vuex: 1)cnpm install vuex --save 2)创...
【JavaScript】如何获取当前页面url网址信息
开源福利博客提供源代码、软件、程序等研究学习使用。
06-07 756
在WEB开发中,时常会用到JavaScript来获取当前页面的url网址信息,在这里是我整理的一些获取url信息的小总结。下面我们举例一个URL,然后获得它的各个组成部分:https://login.cihuiw.com/login?
【微信小程序】跳转重定向方法
俗人尘世
04-24 1365
通过构造js函数,在函数中调用该接口可实现页面跳转的效果。但该接口同样不能跳转tabbar页面,跳转后左上角有返回小箭头,点击可返回原本页面。保留当前页面,在js使用。跳转到 tabBar 页面,并关闭其他所有非 tabBar 页面;该方法只能跳转tabbar页面,不保留当前页面,跳转到tabBar页。但需要注意的是 该方法不能跳转tabbar页面,保留当前页面,在wxml使用。关闭当前页面,跳转到应用内的某个页面(不能跳转tabbar页面)。关闭所有页面,打开到应用内的某个页面,左上角不会出现返回箭头。
Web.Config文件配置之限制上传文件大小和时间的属性配置
10-27
- `useFullyQualifiedRedirectUrl`:控制重定向URL是否需要是完全限定的,默认为`false`。 - `minFreeThreads`和`minLocalRequestFreeThreads`:这两个属性分别设置了在处理新请求时需要保持的最小自由线程数,以...
小程序一键生成平台代码附带前后台
05-18
- ".htaccess":这是一个Apache服务器的配置文件,通常用于控制网站的重定向URL美化、访问权限等,可能在这个平台的部署中起到关键作用。 - "403.html" 和 "404.html":这两个是错误页面,当用户尝试访问被禁止或...
C#实现HTTP上传文件的方法
09-04
在C#中,HTTP上传文件通常涉及到Web客户端与服务器之间的数据交换,这在开发Web应用程序时非常常见。这里我们将详细探讨如何使用C#实现HTTP上传文件的方法,包括发送文件和接收文件的步骤。 首先,我们来看发送文件...
python3 flask实现文件上传功能
09-20
最后,返回重定向URL,显示已上传文件的页面。 - 对于GET请求,返回HTML表单,让用户选择要上传的文件。表单的`enctype`属性设为`multipart/form-data`,这是上传文件所必需的。 7. 启动Flask应用: 在`if __...
Struts2实现多文件上传功能
08-29
Struts2是一个强大的MVC框架,它为Java Web应用程序提供了丰富的功能支持,其中包括文件上传功能。在Struts2中实现多文件上传,主要是通过利用其内置的上传拦截器和Action类中的特定属性来处理文件数据。 首先,让...
vue中重定向redirect:‘/index‘,不显示问题、跳转出错的完美解决
10-14
主要介绍了vue中重定向redirect:‘/index‘,不显示问题、跳转出错的完美解决方案,本文通过图文并茂的形式给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧
Nginx跳转中的报错处理
LiuRzhi的博客
07-01 843
Nginx跳转中的报错处理 1、重启nginx服务报错: 由图可以看出,我重启nginx服务的时候报错"journalctl -xe" 复制查看: 看出来是启动报错了。 分析:可能是没有关闭完全。 查看端口: 发现已经正常关闭了。 继续分析:可能是配置文件问题。 查看nginx -t: 果然:第44行报错。 进入配置文件: 发现是括号问题,括号是中文括号。 修改为英文括号后,再次nginx -t。 一切OK~ ...
若依前后端分离框架学习-1:前端引入
热门推荐
liuzixin_lzx的博客
01-25 3万+
最近在使用若依前后端分离框架,这里记录下自己的学习过程。主要是为了督促自己的学习,巩固自己对框架的理解。这里也提供下官方的介绍文档地址,毕竟我自己写的和人家的比就是个渣渣。 该项目用到的主要技术,前端:vue+element,后端springboot。 前端为单页面模式,只有一个html文件public/index.html。主要代码如下: <div id="app"> <div id="loader-wrapper"> <div id="load
小白ruoyi二次开发碰的问题(一)
qq_46221257的博客
03-04 582
login。
vue实现页面锁屏完美解决(续集)
呵呵的牛
06-06 2415
vue实现页面锁屏完美解决(续集)
小程序授权url重定向漏洞
weixin_45979191的博客
07-16 166
小程序授权url重定向漏洞
【SpringBoot】-- 实现本地文件/图片上传到服务器生成url地址
最新发布
张修宇的博客
03-07 3788
如何实现上传本地图片生成url地址?阿里云OSS存储的使用。
小程序-导航跳转、重定向跳转、底部导航跳转
zhaoliang831214的专栏
12-14 846
小程序-导航跳转、重定向跳转、底部导航跳转
若依框架_02:登录过程
Share_Li_98的博客
04-24 8334
目录一、登录页面二、验证码接口1、基本思路2、三、登录接口四、获取路由菜单接口五、获取用户详细信息接口 一、登录页面 前端目录为ruoyi-ui,为单页面模式,只有一个html文件:public/index.html。vue-cli3之后为public/index.html, vue-cli2版本的是根目录下的index.html。 index.html: <body> <div id="app"> <div id="loader-wrapper">
squid url重定向
08-19
对于Squid代理服务器的URL重定向,您可以使用acl和redirect指令来实现。下面是一个示例配置: 首先,您需要定义一个acl来匹配要重定向URL。例如,假设您想将所有访问www.example.com的请求重定向到www.example.org: ``` acl example_url url_regex ^http://www\.example\.com ``` 接下来,您可以使用redirect指令将匹配到的请求重定向到新的URL: ``` http_access deny example_url redirector_access allow all redirect_program /usr/local/bin/redirector.sh ``` 在上面的示例中,我们使用了一个自定义的重定向程序`redirector.sh`,您可以根据自己的需求编写这个程序。它可以接收原始请求和目标URL作为参数,并返回重定向后的URL。 请注意,您需要确保Squid代理服务器已正确配置并能够执行重定向操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值