小程序安全检测一
1、明文或弱加密传输用户名、密码和验证码等敏感信息
整改优先级:高
问题描述:用户登录过程中,在与服务器端交互时明文或弱加密传输用户名、密码或者验证码等,可导致用户敏感信息泄露。
检测方法:利用burpsuite对被测应用进行监听,点击登录或修改密码,请求将被网络抓包工具监听拦截,如果网络包中敏感信息使用了明文或者MD5、Base64等弱加密方式进行传输,则该处具有风险。
检查工具: Fiddler、Burpsuite等。
整改建议:在被测应用与服务器交互过程中,对用户名、密码和验证码等敏感信息进行有效加密传输。
2、未使用有效的Token机制,导致可以绕过鉴权
整改优先级:高
问题描述:如果被测应用没有使用有效的Token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。
检查方法:
- 利用网络抓包工具监听登陆响应,对登陆响应中的服务器返回的鉴权信息进行修改。
- 修改后成功绕过登录界面,进入应用界面。
检查工具:Fiddler、BurpSuite等
整改建议:使用有效的Token机制进行鉴权。
3、文件上传漏洞
整改优先级:高
问题描述:如果小程序中存在上传接口,且接口没有严格限制上传文件格式,则该处可能被恶意上传木马文件,导致服务器被控。
检查方法:利用网络抓包工具对被测应用进行监听。对具有上传功能的模块进行抓包,修改请求中的文件后缀名,看是否能成功上传。
上传图片功能接口,将json文件后缀修改为.jpg后进行上传操作,burpsuite拦截上传接口请求,将文件改回json,上传成功。
检查工具:BurpSuite等
整改建议:客户端限定文件上传格式,服务器对上传文件格式进行检测,不使用已知存在漏洞的低版本编辑器,不授予上传文件目录下文件可执行权限。
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhfhffib
系列文章
更多
同类精品
更多
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01 -
怎样阻止微信小程序自动打开
PHP中文网 06-13