freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次某家园社区管理后台渗透测试案例
2023-11-30 10:20:21

前言

在某次众测项目中,遇到了一个比较有意思的系统,该系统是某大型家园社区应用程序,包含有WEB端和小程序,本文仅分享在挖掘漏洞过程中的遇到一些比较有意思的漏洞点,希望能够给安全行业初学者提供一下挖掘漏洞的思路。

资产探测

前期做了比较多的信息收集这里就不多说了,直接进入正题,打开资产url:https://xxx.xxx.com,登录界面没有注册信息,并且也没有账号登录,猜测账号应该是从小程序中获取

打开小程序,用手机号码登录之后,由于没有加入社区,发现就一个需要加入社区的页面,那就随机加入一个看看吧

1701309720_6567ed18e4f312ba2ab77.png!small?17013097221301701309771_6567ed4b4b800eb975c29.png!small?1701309773523

结果在意料之中应该是需要社区管理员审核之后才能进入

1701309822_6567ed7e31368b814ae8c.png!small?1701309823595

前期花了比较多的时间进入了某个家园社区,过程就不一一阐述了。

本文作者:, 转载请注明来自FreeBuf.COM

# 漏洞 # 渗透测试 # web安全 # 网络安全技术
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录