- 博客(4)
- 收藏
- 关注
RSS订阅原创 小程序安全检测(二)
以用户在小程序中查询订单为例,在获取用户订单列表时直接使用PassportId参数进行查询,未验证查询参数PassportId是否与查询人会话身份(session)匹配,这样便导致可以通过修改PassportId值的方式获得其他用户对订单列表,从而获取用户信息,造成越权访问。如果被测应用没有使用有效的Token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。进行监听,对访问该模块时的关键信息进行替换,则可越权访问他人的小程序模块或遍历用户信息等。
2023-04-23 15:03:37
1135
1
原创 小程序安全检测(一)
利用burpsuite对被测应用进行监听,点击登录或修改密码,请求将被网络抓包工具监听拦截,如果网络包中敏感信息使用了明文或者MD5、Base64等弱加密方式进行传输,则该处具有风险。上传图片功能接口,将json文件后缀修改为.jpg后进行上传操作,burpsuite拦截上传接口请求,将文件改回json,上传成功。如果被测应用没有使用有效的Token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。:利用网络抓包工具对被测应用进行监听。网络抓包工具监听登陆响应,
2023-03-16 19:42:24
2995
原创 Jmeter生成的jtl文件用命令转换成html报告
jmeter -g jtl地址 -o html报告生成地址参数:-g : result.jtl 已经存在的.jtl文件的路径。-o :用于存放html报告的目录
2022-01-12 09:57:52
2581
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人