给大伙分享个微信小程序的新功能(超级后门,提权神器)🤣

226 天前
 Margarethe

今天听群友抱怨小程序的 bug 才知道的,去社区搜了下,发现有人早发现这个问题了,原文可以点这里: https://developers.weixin.qq.com/community/develop/article/doc/000ae2dd1e0bd0d8efe05a66c66813 总结一下就是,如果你手机自带截图,截取了你当前小程序的图,发给别人,别人点开截图后,下方有个直接进入小程序的按钮

重点是!

根据群友的信息,这个进入会携带你的用户信息直接进入!直接用你的账号登录了!

5599 次点击
所在节点    程序员
44 条回复
fionasit007
226 天前
再补充一下这个实际算是那个帖子的楼主自己的错误,这个邀请码是只要进来就可以刷新,根本没有判断权限,但是需要从去正常验证过权限的页面进去,不过小程序分享就是分享当前页,所以造成了这个问题,相等于我分享我登录后的个人信息页地址给你,你可以进去但是不会重定向登录页,这个“携带你的用户信息直接进入”并不是这样的,你有点误解了
twofox
226 天前
他自己的问题吧?我用了 IT 之家的小程序测试了一下 ,是没有办法绕过鉴权的
gitreny
226 天前
这不是他自己的问题吗 只能说他的小程序有问题
maemolee
226 天前
什么啊,就是某个小程序安全做的不行呗😮‍💨
latifrons
226 天前
什么啊,就是绕过了首页鉴权直接空降到了邀请码发放页面,小程序的分享功能可以直接分享邀请码页面的 URL ,自己的问题,怪不了别人
flyqie
226 天前
不要想搞个大新闻。。。你管这叫"超级后门,提权神器"也太标题党了

原文里面都说了`因为我当时做这个功能的时候是通过入口控制的,如果存在权限,会展示这个入口,但是从入口进入之后就不做权限控制了`


很明显跟微信没半毛钱关系,谁们家线上用 path query 等玩意做鉴权。
tanranran
226 天前
你这明显是没有做鉴权导致的,假如从右上角复制链接,也会有这种问题
INW017bzMfgkkYGn
226 天前
后台肯定不是 JAVA 写的,一个鉴权拦截器就搞定,出来怪微信。。
leaflxh
226 天前
"因为我当时做这个功能的时候是通过入口控制的,如果存在权限,会展示这个入口,但是从入口进入之后就不做权限控制了,

正常情况下,这种逻辑不存在啥问题"

我:黑人问号.jpg
Richared
226 天前
没人在前端做鉴权吧。。。。
flyqie
226 天前
@default #28

?这跟语言有啥关系?

任何一个语言都能做到你说的`鉴权拦截器`。
mht
226 天前
激活码应该接口生成并且校验,前端是不可信的。
StinkyTofus
226 天前
@zzxqd #11 不想多说, 你看看其他层的评论吧, 应该能看懂
zzxqd
226 天前
@StinkyTofus 中间换行了,上半部分是表示同意你的看法,所以是对你的回复。下边是对发帖者重点部分的反问,不是我没看懂发帖者的意思。
hihanley
226 天前
标题党
keller
226 天前
应该是把用户 id 之类的参数放在了 url ,然后相关的页面和接口也没有做鉴权直接拿 url 里面的 id 发起了业务
keller
226 天前
典型的设计缺陷
dongtingyue
226 天前
为啥我的微信不能识别小程序截图?
korvin
226 天前
三方小程序开发人员的锅,微信不背😂。路径上带类似用户编号的信息,服务端也不做鉴权,就给返回数据
Dongxiaohao
226 天前
所以后端在生成激活码的时候难道不鉴权吗,感觉挺奇怪的问题。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1031676

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX