现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
0x00 前言
在我看来小程序的漏洞与web漏洞很相似,所以完全可以把web漏洞挖掘的思路用在小程序上,同时小程序上对于防护做的比较差,所以便有了今天的文章。
0x01 配置微信抓包代理
配置代理ip与端口(端口只要没有被占用都可以)
使用代理服务器
代理IP和端口改为和burp suite一致即可,将使用代理服务器给打开
代理服务器内的内容在下方
localhost;127.*;10.*;172.16.*;172.17.*;172.18.*;172.19.*;172.20.*;172.21.*;172.22.*;172.23.*;172.24.*;172.25.*;172.26.*;172.27.*;172.28.*;172.29.*;172.30.*;172.31.*;192.168.*注:这里配置的代理将会抓取电脑上全部的数据包,包括浏览器和别的数据包
0x02 漏洞复现过程
通过多次抓包测试确定:resultCode是判断是否可以登录的依据,0003是用户不存在,0004是账号密码错误,0000是登录成功。
这里将返回包的内容0004修改为0000
0x03 总结
版权声明:本文为CSDN博主「一只学网安的小白。」的原创文章原文链接:https://blog.csdn.net/Guapichen/article/details/108122785
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
推 荐 阅 读
文章引用微信公众号"潇湘信安",如有侵权,请联系管理员删除!