小程序审计:解密后获取他人身份信息
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
概述
由于之前工作的需要,经常对小程序进行渗透测试,一些小程序抓包的时候,是能够进行查询他人信息的,这里对存在这种漏洞的小程序,用一个案例来讲,渗透测试的时候,进行代码审计的过程
获取微信源代码
首先,进行解密
当然,解密的工具有很多,这里就不进行一一举例了
解密源码文件
我在给某江小程序进行渗透测试的时候,在获取它源码的情况进行代码审计,发现它把调用的加密函数放在了/utils/crypto/index.js文件下,发现是一个aes加密
猜想它肯定是有一个js用了一个文件,通过密钥进行加密了,顺藤摸瓜,找到另外一个indes.js文件,而这里面正好有我所需要的加密
于是,在摸清楚加密方式和密钥以后,我就开始用它来生成大批量的字典,进行查询
随便一个查询页面的加密密钥,进行解密
加密获取用户信息
因为批量的不是很多,就单独列几条去敏信息的案例截图拿来展示就行了
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
文章目录