给大伙分享个微信小程序的新功能(超级后门,提权神器)🤣

259 天前
 Margarethe

今天听群友抱怨小程序的 bug 才知道的,去社区搜了下,发现有人早发现这个问题了,原文可以点这里: https://developers.weixin.qq.com/community/develop/article/doc/000ae2dd1e0bd0d8efe05a66c66813 总结一下就是,如果你手机自带截图,截取了你当前小程序的图,发给别人,别人点开截图后,下方有个直接进入小程序的按钮

重点是!

根据群友的信息,这个进入会携带你的用户信息直接进入!直接用你的账号登录了!

5664 次点击
所在节点    程序员
44 条回复
DreamingCTW
259 天前
"所以这一波损失是真真切切存在的,今天我也主动对这个问题进行了修复,就是在进入激活码生成页 的时候也做了权限的校验,这样保证没有权限的用户即使扫码进入也没法生成正确的激活码"

你确定进去是截图者的权限?那是他自己没有做鉴权。相当于进这个页面之前他判断用户有没有权限,有权限就可以进,但是进到这个页面就不会再进行鉴权了。他截图的页面是无需鉴权的,这个是自己代码逻辑的问题。
InDom
259 天前
没看懂:

一、如果你手机自带截图,截取了你当前小程序的图,发给别人,别人点开截图后,下方有个直接进入小程序的按钮

iPhone 14 未能复现,打开任意小程序,点开任意页面,截图,然后发送给文件传输助手,在查看图片,未找到“直接进入小程序的按钮”

二、这个进入会携带你的用户信息直接进入

根据我从文中的理解,两种可能:截图有隐含的小程序码,否则通过图片识别是哪个小程序的页面截图难度太大了...

就算实现了前者,截图“隐含水印”中带有用户信息的可能性不大。

如果是隐含小程序码水印特征,那么可以实现,从文中的情况,也没有携带用户信息,只是能直接打开某个页面,开发者自己没有在这个页面鉴权导致的,根本和微信无关,也没有说到携带用户信息的情况。

另外,对这个东西的复现很感兴趣,真的能通过不带小程序码的图片识别是哪个小程序的哪个页面?

最后:不要总想搞大新闻
DreamingCTW
259 天前
@InDom #2 嗯,我用的 Android ,微信有这个功能,在小程序页面截图,讲截图发送给好友,好友打开图片,下方有直接进入小程序的按钮。ios 不清楚
abelmakihara
259 天前
不知道这个页面设置是否可以分享
如果不能分享那这确实算一个漏洞啊 相当于变相分享了
当然 没鉴权是他自己的问题
MonkeyD1
259 天前
为什么我不管在呢截的图 图片上有入口 只能进入首页呢
abelmakihara
259 天前
如果本来就能分享 没这个他也能触发鉴权漏洞啊
帖子里看起来似乎是可以分享的
967182
259 天前
我给别人分享的小程序,打开以后看到的是我的账号下内容。。。。。
justfindu
259 天前
没法复现么
cJ8SxGOWRH0LSelC
259 天前
这纯粹是作者自己的问题, 不管是什么权限校验都不应该在 ui 层去判断啊, 而且还只在一个界面判断了, 跳过这个界面就绕过了, 这漏洞也太大了。

这次他修改了,也是治标不治本, 看的出来他只是在生成激活吗的页面又加了判断, 逻辑还是在 UI 层, 都不和服务器交互生成激活码, 这也太容易破解了吧。
6F321i77Df1W0Zka
259 天前
怎么复现,我是安卓。没法复现
zzxqd
259 天前
@StinkyTofus 如果是原帖说的,没有在特殊的页面上做权限验证,而且只在前端验证那确实有问题。

不过进入会携带你的用户信息直接进入是什么意思?是截图人的账号信息么?应该不可能吧,是不是页面链接地址上携带的有当前登录人的信息,导致分享出去的页面地址直接进去就是分享人的账号信息。
pianjiao
259 天前
这不是新加的功能么,微信能识别小程序截图
zzxqd
259 天前
感觉应该是分享时的地址链接里自带有当前人的身份信息,导致后续不管是谁通过截图的链接人直接就是分享人的信息。

还以为真有啥大新闻,还是开发者自身的问题。
Yesr00
259 天前
确定是小程序的问题不是开发者自己留的 BUG ??
fionasit007
259 天前
可能是进到小程序的一个子页面然后截图发给别人,别人点击图片进到当时那个子页面,好像小程序分享页面好像会记录这个页面的操作,比如说筛选啥的,分享出去别人看的还是这个筛选结果,可能就是这里把一些不需要登录验证的数据给泄露了,不知道我想的对不对
ysc3839
259 天前
这感觉类似小程序菜单里的复制页面链接?
scarecrowlxb
259 天前
@zzxqd 没看贴,看评论区的描述我可能的原因:
分享时生成的链接作者加了个用户 id 之类的参数,其他人打开链接时作者直接用链接中的用户 id 参数来判断登录用户。
me1onsoda
259 天前
根据群友的信息,这个进入会携带你的用户信息直接进入!直接用你的账号登录了!

你确认吗?看他描述并不是 token 泄露了
QAZXCDSWE
259 天前
QAZXCDSWE
259 天前
糟糕会错地方了,尴尬

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1031676

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX