小程序安全检测(二)

最新推荐文章于 2024-05-06 15:46:37 发布
最新推荐文章于 2024-05-06 15:46:37 发布
阅读量857 收藏 2
点赞数 3
分类专栏: 小程序安全 文章标签: 小程序 安全 安全性测试 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42428754/article/details/130321777
版权

1、未使用有效的Token机制,导致可以绕过鉴权

整改优先级:高

问题描述:如果被测应用没有使用有效的Token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。

检查方法:

  1. 利用网络抓包工具监听登陆响应,对登陆响应中的服务器返回的鉴权信息进行修改
  2. 修改后成功绕过登录界面,进入应用界面。

利用网络抓包工具进行监听并修改鉴权信息

检查工具:Fiddler、BurpSuite等

整改建议:使用有效的Token机制进行鉴权。

2、传输数据可修改,造成越权访问

整改优先级:高

问题描述:利用已有的用户名密码登录小程序,当小程序访问某一模块时,使用网络抓包工具进行监听,对访问该模块时的关键信息进行替换,则可越权访问他人的小程序模块或遍历用户信息等

检查方法:

  1. 利用已知的用户名密码登录被测小程序,利用网络抓包工具对被测应用进行监听;
  2. 以用户在小程序中查询订单为例,在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息,造成越权访问。

修改手机号后成功登陆特定邮箱

检查工具:Fiddler、BurpSuite等 

整改建议:在传输过程中对敏感数据进行加密传输,检查查询时参数是否与session相匹配,并且在单点登录过程中采用有效的Token机制进行鉴权。

咯噔咯喽
关注
专栏目录
微信小程序安全浅析
baize_security的博客
01-17 3万+
近期微信小程序重磅发布,在互联网界掀起不小的波澜,已有许多公司发布了自己的小程序,涉及不同的行业领域。大家在体验小程序用完即走便利的同时,是否对小程序安全性还存有疑虑。白泽日前对微信小程序进行初步的安全技术分析,在此整理出来抛砖引玉,如有描述不当的地方,欢迎纠正,轻拍。本文中,大白将从小程序的框架、功能模块安全、账户使用安全方面进行剖析,希望能为各位泽友带来不一样的认知。一、小程序框架概述在第
内容安全检测【图文检测】(微信小程序心得)
gumengcheng的博客
03-07 1847
微信小程序中 UGC内容涉及的图文检测
网络安全----小程序渗透测试反编译审计漏洞
最新发布
ytdd66的博客
05-06 2701
微信小程序反编译渗透测试是一种针对微信小程序安全测试方法,是在通过对小程序源代码的反编译和分析,发现潜在的安全漏洞,并对其进行渗透测试以验证其安全性的一种方法。
微信小程序安全测试指南
07-07
由于新技术新业务的发展速度较快,可能存在客户要求的测试项不在指南中 的情况,本文档提供对微信小程序进行测试的基本思路。
小程序安全检测(一)
weixin_42428754的博客
03-16 2435
利用burpsuite对被测应用进行监听,点击登录或修改密码,请求将被网络抓包工具监听拦截,如果网络包中敏感信息使用了明文或者MD5、Base64等弱加密方式进行传输,则该处具有风险。上传图片功能接口,将json文件后缀修改为.jpg后进行上传操作,burpsuite拦截上传接口请求,将文件改回json,上传成功。如果被测应用没有使用有效的Token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。:利用网络抓包工具对被测应用进行监听。网络抓包工具监听登陆响应,
小程序安全
weixin_34234829的博客
11-09 1010
小程序安全渐渐变得重要了。当你的小程序做的比较大,用户量多,收益好的时候就会有人搞你 了 所以在小程序的开发上做一些安全的处理。 利用token来验证用户,而不是用openid返回给用户本地。    文章来源:刘俊涛的博客 欢迎关注,有问题一起学习欢迎留言、评论...
微信小程序大概测试
qq_45948176的博客
03-13 383
3,同一个微信号在不同手机端登录授权查看数据权限:不同端操作的动作都同步有效。1,非公有部分:不同版本切换,保证功能和数据的独立性。2,手机操作系统测试:ios和an’droid测试。1,未授权登录用户测试:弹框提示先授权再可以使用。2,公有部分:切换不同的模块,都会显示相同的内容。1,例如小程序支持交易,则需要验证各种交易场景。2,授权登录用户测试:正常操作业务功能。1,清空微信缓存是否影响小程序的使用。4,字体,图片,动态交互效果测试。3,上下层级进入&返回测试。3,屏幕的分辨率测试
java实现微信小程序安全系列-文本内容安全识别
06-16
应用场景 用户个人资料文字的违规检测 媒体新闻类用户发表ode文章以及评论内容的检测 一些用户自己编辑后上传的内容检测 ...具体的出参入参大家可自行参考微信小程序开发文档,接下来我们看一下具体代码实现:
java实现微信小程序-音视频、图片内容安全识别
06-16
应用场景 语音风险识别:用户发表的语音内容检测 图片智能鉴黄:对拍照图片的内容鉴黄...此处微信出于自己安全考虑对频率进行了限制 单个appid被限制调用频率如下:2000次/分钟,200000次/天 单个文件大小不能超过10M
qq小程序图片和文字安全检测(文字和图片安全检测
qq_34430830的博客
05-17 1464
** qq小程序包含文字上传及图片上传功能时需要调用内容安全审核接口,官方文档只提供了一个供后台调用的接口,这篇文章将会讲到java的具体实现。** (一)获取token public String getQQToken(String appId, String appSecret) { RestTemplate restTemplate = new RestTemplate(new HttpsClientRequestFactory()); List<HttpMes
微信小程序测试工具
11-12
这个微信小程序测试工具,包含微信支付测试,token验证等,非常好用
测试小程序测试小程序
12-22
测试小程序测试小程序测试小程序测试小程序测试小程序测试小程序测试小程序测试小程序测试小程序测试小程序
基于微信小程序的校园核酸检测平台设计.docx
10-27
设计一个基于微信小程序的校园核酸检测平台需要考虑多个方面,包括需求分析、功能设计、性能优化、安全设计等。该平台应该具有快速、安全、便捷的特点,满足校园核酸检测的需求。 知识点四:系统需求分析 系统需求...
20款安全测试工具为程序安全保驾护航
BTfan123的专栏
03-21 1396
针对安全性测试的工具非常多,慧都小编主要推荐20款,非常实用的安全测试工具,希望能帮到大家。 Babel Enterprise Babel Enterprise 是一款企业级的安全监控平台,可以检查OS安全状态:用户名/密码、内核选项、文件权限、补丁、网络设置、SUID、进制文件更改等。 BFBTester BFBTester是一款对进制程序进行安全检查,确定输入参数、环境变量等是否存
uni-sec-check内容安全unicloud公共模块,校验微信小程序文本内容安全识别和图片智能鉴黄,uniapp进阶
qq_18798149的博客
09-27 3384
uni-sec-check内容安全是unicloud封装了微信小程序的免费接口,文本内容安全识别(msgSecCheck)和音视频内容安全识别(mediaCheckAsync),如果我没选择使用uniapp+unicloud开发的话,可以轻松从插件市场引入uni-sec-check公共模块,完成内容安全检测,包含图片和文字检测,下面就针对文本内容和图片进行安全校验,前置知识肯定需要会uniapp和unicloud等知识。
小程序的可靠性和安全性如何研究测试
weixin_42581003的博客
01-10 840
如果要研究和测试小程序的可靠性和安全性,可以考虑以下几个方面: 功能测试:对小程序的各个功能进行测试,确保它们都能正常工作。 性能测试:对小程序的性能进行测试,比如内存使用、处理器使用率、启动速度等。 安全测试:对小程序进行安全测试,比如模拟攻击、验证安全设置等。 兼容性测试:对小程序的兼容性进行测试,确保它能在不同的硬件和软件环境下正常工作。 除了自己进行测试,也可以考虑使用第三方测...
小程序对文本内容和图片进行安全检测
weixin_44970384的博客
07-17 599
小程序对文本内容和图片进行安全检测 官方说明文档: https://mp.weixin.qq.com/cgi-bin/announce?action=getannouncement&key=11522142966rk3L2&version=1&lang=zh_CN&platform=2 可以看到在我们进行检测请求的时候需要access_token 获取access_token方法如下: https://developers.weixin.qq.com/doc/offiacc
微信小程序测试指南
aab438346的博客
06-28 201
[本文出自天外归云的博客园] 微信小程序本地部署测试方法 下载微信开发者工具 让小程序管理员将测试人员的微信号添加开发者权限 本地设置hosts为测试环境hosts 打开微信web开发者工具并扫码登录 选择项目路径(事先在本地存放好小程序源代码,选择小程序所在路径,如果路径正确的话项目名会自动出现,无需手动填写) 返回填写appId,确定后双击即可打开小程序 本地调试...
2023微信小程序 图片内容安全检测实例总结 security.mediaCheckAsync
xiaoxuedididi的博客
02-21 2494
踩了很多次坑,终于在微信小程序中搞定了图片内容安全检测。最开始看的以前的文章用的是老版本的图片安全检测,在开发者工具中是可以跑通的,但是到了真机调试就无法进行图片检测,后来提了个工单,才知道要用新版本的安全检测——security.mediaCheckAsync。发现以前也看到过这个接口,好像是因为是异步的传输结果,而且还是30分钟内给出结果,于是就放弃了,结果选了个老版本。
微信小程序安全检测UI头像框源码
资源摘要信息: "微信小程序开发中,关于带有安全检测功能的全新用户界面(UI)头像框制作,特别是国庆期间推出头像加V功能的源码。本文档将详细介绍该功能的设计与实现,包括头像框的安全检测机制,以及如何为国庆节...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

咯噔咯喽

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值