某事业单位多处越权漏洞测试

实战安全研究 2025-04-18 01:00

前言

一般小程序都是都比较好测试，因为不像单纯的WEB网站一样需要登录后台或者注册进入才有比较多的功能点进行测试，反之小程序只需要访问就有大把的功能点进行测试，这次小程序就是功能点贼多。

这里访问小程序发现功能点很多，其中有一个群众点单功能点

点击进入发现很多的志愿活动相关页面，随便点击一处

抓包，哎嘿发现存在信息泄露，其它的文章或者页面也有

发现了上一处的信息泄露猜测这个小程序漏洞肯定多，再测测中心派单功能点试试

点击进去也是类似的页面，任意点击一处

抓包发现大量数据，包括姓名，手机号，地址等信息还有很多xxxxid信息

这里在持续抓包的过程中还发现一个POST请求包，其中存在volunxxid字段，发送请求包成功但是没有数据

这里试着替换volunxxid字段值，这个值是从图六中得来的，因为没截全所以看不到，进行替换直接越权查看别人的用户信息

从这里可以发现该小程序存在大量越权点，其他的就不测试了，都差不多