edusrc—appkey泄露
免责声明:
由于传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
简介
AppKey泄露是指应用程序的应用密钥(AppKey)或API密钥被非法访问或公开的安全事件。AppKey是应用程序与第三方服务或API进行安全通信的凭证,通常用于身份验证和数据加密。如果这些密钥泄露,攻击者可以利用它们来访问敏感数据、执行未授权的操作或冒充合法的服务请求
漏洞切入点
开局弱口令进入
对url监控模块进行摸排,发现一个/miniprogram/user/oppenId,进行拼接访问
提示500,缺少code参数,我们直接加上/miniprogram/user/oppenId?code=1访问成功,添加一个"和单引号试试看有没有sql注入
报错了,而且wxappkey的appid和secret爆出来了
直接去wxapi去利用,获取token
已修复
工具推荐
wx-key泄露利用
https://github.com/qiwentaidi/Slack
浙公网安备 33010602011771号