免责声明:请勿利用文章内的相关技术从事非法测试,用于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

一次SRC的漏洞挖掘,针对授权测试的银行app漏洞挖掘是比较困难的,大部分都是硬编码,数据包二次加密等,这次可能运气比较好,在脱完壳发现了几个硬编码敏感信息泄露和web页面的源代码信息泄露。

1.app硬编码

发现wxappid和wxsecret是正常未失效的。

根据微信的要求token是有次数限制,或造成服务号、订阅号出现异常无法服务。

2.webpack源码泄露

一共挖到了5个漏洞,这下买的服务器和一些设备、工具可以报销啦。

目前src挖掘的危害等级,还是要根据甲方或者授权方的收取范围来挖掘会比较快些,毕竟这些漏洞,有些厂商是不收的,说危害不高然后不收,过几天再去看的时候就修复了,或者直接不能访问了

免责声明:请勿利用文章内的相关技术从事非法测试,用于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

part1