小程序安全检测(二)

最新推荐文章于 2024-05-06 15:46:37 发布
最新推荐文章于 2024-05-06 15:46:37 发布
阅读量745 收藏 2
点赞数 3
分类专栏: 小程序安全 文章标签: 小程序 安全 安全性测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42428754/article/details/130321777
版权

1、未使用有效的Token机制,导致可以绕过鉴权

整改优先级:高

问题描述:如果被测应用没有使用有效的Token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。

检查方法:

  1. 利用网络抓包工具监听登陆响应,对登陆响应中的服务器返回的鉴权信息进行修改
  2. 修改后成功绕过登录界面,进入应用界面。

利用网络抓包工具进行监听并修改鉴权信息

检查工具:Fiddler、BurpSuite等

整改建议:使用有效的Token机制进行鉴权。

2、传输数据可修改,造成越权访问

整改优先级:高

问题描述:利用已有的用户名密码登录小程序,当小程序访问某一模块时,使用网络抓包工具进行监听,对访问该模块时的关键信息进行替换,则可越权访问他人的小程序模块或遍历用户信息等

检查方法:

  1. 利用已知的用户名密码登录被测小程序,利用网络抓包工具对被测应用进行监听;
  2. 以用户在小程序中查询订单为例,在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息,造成越权访问。

修改手机号后成功登陆特定邮箱

检查工具:Fiddler、BurpSuite等 

整改建议:在传输过程中对敏感数据进行加密传输,检查查询时参数是否与session相匹配,并且在单点登录过程中采用有效的Token机制进行鉴权。

咯噔咯喽
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
微信小程序渗透测试技巧
07-19 1万+
随着小程序数量的爆发式增长,其特有的安全风险也逐步凸显出来。本文基于微信小程序测试过程中的解包及抓包的技巧,总结下微信小程序安全测试的思路。1、小程序解包(反编译)(1)安装手机模拟器,比...
2023微信小程序 图片内容安全检测实例总结 security.mediaCheckAsync
xiaoxuedididi的博客
02-21 2134
踩了很多次坑,终于在微信小程序中搞定了图片内容安全检测。最开始看的以前的文章用的是老版本的图片安全检测,在开发者工具中是可以跑通的,但是到了真机调试就无法进行图片检测,后来提了个工单,才知道要用新版本的安全检测——security.mediaCheckAsync。发现以前也看到过这个接口,好像是因为是异步的传输结果,而且还是30分钟内给出结果,于是就放弃了,结果选了个老版本。
网络安全----小程序渗透测试反编译审计漏洞
最新发布
ytdd66的博客
05-06 974
微信小程序反编译渗透测试是一种针对微信小程序安全测试方法,是在通过对小程序源代码的反编译和分析,发现潜在的安全漏洞,并对其进行渗透测试以验证其安全性的一种方法。
小程序测试用例
weixin_52096950的博客
08-29 742
小程序测试用例指的是针对小程序进行测试的一系列测试用例。兼容性测试用例:测试小程序在各种不同的操作系统、浏览器和设备上能否正常运行,包括不同品牌和型号的手机、平板电脑等设备。界面测试用例:测试小程序的各种界面是否符合设计要求,并且能够正常地展示内容,包括各种不同分辨率和设备的屏幕适配性。国际化测试用例:测试小程序在不同的语言、文化背景和地区下能否正常使用,包括多语言、多时区、多货币等方面的测试。性能测试用例:测试小程序运行的速度和响应时间是否符合用户要求,包括各种不同的网络环境和设备性能的测试
微信小程序图片与文字安全检测security.msgSecCheck和security.imgSecCheck
rb0518的博客
11-11 2462
微信小程序图片与文字安全检测security.msgSecCheck和security.imgSecCheck,微信小程序线上版本涉及到内容发布评论等,就需要进行安全检测,否则官方会上传一些huang图等敏感信息,这样就对我们的小程序的运行非常的不友好。
小程序测试应该进行哪些测试?起到什么作用?
卓码测评
09-06 459
在如今小程序蓬勃发展的时代,越来越多的企业选择开发小程序来扩大业务。在推出小程序之前,进行全面的测试是至关重要的。
java实现微信小程序安全系列-文本内容安全识别
06-16
应用场景 用户个人资料文字的违规检测 媒体新闻类用户发表ode文章以及评论内容的检测 一些用户自己编辑后上传的内容检测 ...具体的出参入参大家可自行参考微信小程序开发文档,接下来我们看一下具体代码实现:
虎年背景头像框制作微信小程序源码下载带安全检测
01-28
不知不觉已经2022年了,记得上一次发布这款小程序还在2021 感叹时间过得还是挺快的,为什么小编又要重新发布一次这个小程序呢 因为有很多小伙伴说之前的没有安全内容检测,然后审核过不去 所以小编今天就重新发布...
java实现微信小程序-用户安全等级
06-16
代码解析: 上面代码块很简单,我们可以很明白的读懂...发送POST请求,请求微信服务器获取检测结果 请求结果,转为我们的响应实体类后返回给前端 好了,到这里关于获取用户安全等级的讲解就到这里,欢迎大家留言交流。
小程序源码:2022虎年背景全新UI头像框制作带安全检测
05-31
因为有很多小伙伴说之前的没有安全内容检测,然后审核过不去 所以小编今天就重新发布一下,这个只是在之前的哪一款的...另外整个小程序的背景UI都是以虎年为背景,所以总体的感觉还是很不错! 下面是小编的测试演示图:
java实现微信小程序-音视频、图片内容安全识别
06-16
应用场景 语音风险识别:用户发表的语音内容检测 图片智能鉴黄:对拍照图片的内容鉴黄...此处微信出于自己安全考虑对频率进行了限制 单个appid被限制调用频率如下:2000次/分钟,200000次/天 单个文件大小不能超过10M
微信小程序测试工具
11-12
这个微信小程序测试工具,包含微信支付测试,token验证等,非常好用
小程序自动化测试.pdf
04-11
小程序自动化框架的调研,miniprogram-automator的具体实践,内有demo的完整代码
【微信小程序渗透测试】微信小程序抓包及反编译通杀方法,附漏洞挖掘案例
CommputerMac的博客
12-29 5466
一般我们会看js文件和json文件,js文件包含小程序调用的JS文件。为了方便反编译找到小程序,建议打开小程序之前,把这些文件全部删除,然后重新加载测试小程序。到这里反编译就算结束了,反编译出来的源码,其实就类似web渗透过程中,找前端源码一样。反编译源码,导入微信开发者工具后,在全局搜索匹配关键字,找到OSS信息泄露。导入时候,选择不使用云服务, AppID 可点击测试号,自动获取。比如某小程序抓包,一看这数据包,一整狂喜,连cookies都没有。找到文件管理,查看微信文件存储位置,打开文件夹。
软件测试八款优秀的API安全测试工具,会用三款工作效率能提升50%
软件自动化测试技术交流、资源分享
08-03 666
Postman完全具备作为API测试工具的资格,但其更为人所知的名号却是打造安全API的全套协作平台。数百万Windows、Linux和iOS开发人员使用Postman不是没有原因的。
App微信小程序测试流程及要点
weixin_45852041的博客
04-09 4193
1 APP测试基本流程 1.1流程图 1.2测试周期 测试周期可按项目的开发周期来确定测试时间,一般测试时间为两三周(即15个工作日),根据项目情况以及版本质量可适当缩短或延长测试时间。正式测试前先向主管确认项目排期。 1.3测试资源 测试任务开始前,检查各项测试资源。 –产品功能需求文档; –产品原型图; –产品效果图; –行为统计分析定义文档; –测试设备(ios3.1.3-ios5.0.1;Android1.6-Android4.0;Winphone7.1及以上;Symbian v3/v5/Noki
微信小程序如何测试
热门推荐
03-07 2万+
不需要安装,只要在微信里找到这个小程序打开即可使用,由于小程序的便捷,如今越来越多的平台开发方都纷纷推出自身的小程序应用。 那我们该如何进行微信小程序测试呢? 1、功能测试 功能测试以需求文档和交互视觉文档为准,如果没有这些文档,参考APP的测试方法,也就是说就把它当做手机的APP来测试即可。 2、兼容性测试 01、操作系统的兼容性 这里的操作系统主要是指android系统和iOS系统。小程序运行在微信中,看起来是跟操作系统没关系,实际上还是有关系的,因为底层调用依赖于具体的...
如何测试一个微信小程序
qq_43475097的博客
11-30 1万+
微信小程序测试的策略和注意事项 一、测试前准备(环境搭建) 1.前端页面 微信Web开发者工具安装、授权测试用的微信号可预览和调试小程序… 可参考此文: 微信Web开发者工具-下载、安装和使用图解 2.管理后台 配置内网测试服务器环境,通过PC端Web站点管理小程序前端的输出内容,可从开发人员获取管理账号进行测试 测试范围 1.权限测试 需要检查以下几种情况下微信用户访问的权限 1)未授权微信...
微信小程序内容接入安全检测接口
DayDayUp
04-08 1万+
最近微信小程序代码审核不通过,原因是未将用户的头像和网名做内容接入安全,根据修改指引: 一、什么服务或功能的小程序是UGC小程序小程序中的功能或服务中,涉及用户将自己自定义编辑的文字、图片、音频、视频等内容通过小程序进行展示或提供给其他用户的,属于UGC小程序、作为UGC小程序,用户发布的内容与小程序是否相关? 微信小程序的服务提供者应当负有监管责任,应设置过滤违法、违规等不当...
java实现微信小程序内容安全检测代码展示
06-07
以下是Java实现微信小程序内容安全检测的示例代码: ```java import java.io.*; import java.net.HttpURLConnection; import java.net.URL; import java.security.MessageDigest; import java.security....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

咯噔咯喽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值