SRC案例 | 某公司小程序四个漏洞挖掘过程

前言好不容易才抽点时间学习一下渗透，补天公益SRC上随手找了一家公司练手。因为公益SRC很多时候拼手速和资产收集，所以这次直接瞄准小程序开搞。漏洞一：逻辑漏洞找到第一个小程序然后微信登陆此小程序接着在”首页“点击”签收凭证“，抓取此数据包数据包如下图，将此数据包里面的”phone“和”mobilePhone“变成空值发现存在有信息泄露放到web端的页面更方便，发现有订单信息，访问里面的参数"fileUrlList"的url发现全是签收订单，手机号，姓名等敏感信息漏洞二：前端绕过登陆后台找到第二个小程序点击进入，是一个登陆界面选择账号密码登陆，随便输入一个账号密码并抓包拦截响应包，将"code"修改为0，两个false修改为true修改之后，成功登陆修改之后，成功登陆直接进入到工作台，但是因为未授权访问，只能拿到数据，没有办法进一步操 ………………………………