关于账号相关漏洞的一次测试

原创蓝云Sec 蓝云Sec 2025-05-20 00:01

声明

本文章所分享内容仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。

前端时间测试小程序时遇到的两个漏洞，主要是关于小程序系统账号认证方面的漏洞，其中关于验证码回显漏洞以及任意用户登录用户应该是比较常见的漏洞了，所以这里也是在测试小程序的时候遇到了。

某zf小程序

这里点进来就直接可以看到登录注册点。

点进去可以看到有两种登录方式，其中可以进行验证码绑定登录，通过验证码绑定，其实就是手机号验证码的方式进行注册登录。

这里先输入正确的手机号，然后获取验证码。获取到正确验证码再进行发送请求

burp获取请求包，修改mobile字段为其它手机号，放行即可任意用户登录成功。

相信我，这里搞忘截成功登录的图了【哭】。

这个是事业单位的小程序，某县级医院。

点进来就跳转至登录绑定处，这里完全没有什么含金量的漏洞，因为该系统必须让你进行登录才能使用该小程序的所有功能点，所以必须进行登录才可以。

这里一边发送验证码登录一遍看burp中的信息，挨个进行点一遍发送在发送验证码的响应包中存在验证码回显漏洞，通过测试可以直接登录，这里可以造成任意用户注册漏洞。