前言

在某次众测项目中，遇到了一个比较有意思的系统，该系统是某大型家园社区应用程序，包含有WEB端和小程序，本文仅分享在挖掘漏洞过程中的遇到一些比较有意思的漏洞点，希望能够给安全行业初学者提供一下挖掘漏洞的思路。

资产探测

前期做了比较多的信息收集这里就不多说了，直接进入正题，打开资产url：https://xxx.xxx.com，登录界面没有注册信息，并且也没有账号登录，猜测账号应该是从小程序中获取

打开小程序，用手机号码登录之后，由于没有加入社区，发现就一个需要加入社区的页面，那就随机加入一个看看吧

结果在意料之中应该是需要社区管理员审核之后才能进入

前期花了比较多的时间进入了某个家园社区，过程就不一一阐述了。