当前位置:   article > 正文

小程序安全检测(一)_小程序安全测试

小程序安全测试

1、明文或弱加密传输用户名、密码和验证码等敏感信息

整改优先级:高

问题描述用户登录过程中,在与服务器端交互时明文或弱加密传输用户名、密码或者验证码等,可导致用户敏感信息泄露。

检测方法利用burpsuite对被测应用进行监听,点击登录或修改密码,请求将被网络抓包工具监听拦截,如果网络包中敏感信息使用了明文或者MD5、Base64等弱加密方式进行传输,则该处具有风险。

检查工具: Fiddler、Burpsuite等。

整改建议:在被测应用与服务器交互过程中,对用户名、密码和验证码等敏感信息进行有效加密传输。

2、未使用有效的Token机制,导致可以绕过鉴权

整改优先级:高

问题描述:如果被测应用没有使用有效的Token机制,对登陆响应中的服务器返回的鉴权信息进行修改,即可绕过服务器鉴权,直接访问系统内部信息。

检查方法:

  1. 利用网络抓包工具监听登陆响应,对登陆响应中的服务器返回的鉴权信息进行修改
  2. 修改后成功绕过登录界面,进入应用界面。

检查工具:Fiddler、BurpSuite等

整改建议:使用有效的Token机制进行鉴权。

3、文件上传漏洞

整改优先级:高

问题描述:如果小程序中存在上传接口,且接口没有严格限制上传文件格式,则该处可能被恶意上传木马文件,导致服务器被控。

检查方法:利用网络抓包工具对被测应用进行监听。对具有上传功能的模块进行抓包,修改请求中的文件后缀名,看是否能成功上传。

上传图片功能接口,将json文件后缀修改为.jpg后进行上传操作,burpsuite拦截上传接口请求,将文件改回json,上传成功。

 检查工具BurpSuite等

整改建议:客户端限定文件上传格式,服务器对上传文件格式进行检测,不使用已知存在漏洞的低版本编辑器,不授予上传文件目录下文件可执行权限。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/盐析白兔/article/detail/577231
推荐阅读
相关标签
  

闽ICP备14008679号