记某大学校园平台关于小程序AppSecret密钥泄露漏洞

• 0x1 前言
• 0x2 小程序AppSecret密钥泄露漏洞
  • 一、漏洞介绍
  • 二、浅谈获取access_token
  • 三、如何获取access_token值？
    • tips注意
    • 获取Access Token
• 0x3 漏洞利用
  • 一、泄露appid和AppSecret
  • 二、获取Access_Token值
  • 三、漏洞危害
  • 四、漏洞修复
• 0x4 总结

0x1 前言

这次给师傅们分享的文章是关于小程序AppSecret密钥泄露导致的相关漏洞，这个也是在挖掘EDUSRC漏洞的时候关注的一个知识点，蛮多师傅对于这个漏洞还是比较陌生的，AppSecret是小程序的密钥，然后我们可以通过AppSecret获取access_token值，然后执行一些危害操作，如接口调用凭证、用户信息、用户使用数据等，造成了极大的安全风险。

下面我就先给师傅们介绍下微信小程序AppSecret和access_token相关知识点，然后后面再把我今天挖到的EDU的一个AppSecret密钥泄露漏洞给师傅们分享下。

0x2 小程序AppSecret密钥泄露漏洞

一、漏洞介绍

AppSecret是小程序的唯一凭证密钥，也是获取小程序全局唯一后台接口调用凭证（access_token）的重要参数，需要开发者妥善保管至后台服务器中，并严格保密，不向任何第三方等透露。小程序若存在AppSecret密钥泄露漏洞的情况，会造成身份信息仿冒、敏感数据外泄等严重后果，开发者应及时发现该漏洞并快速修复相应问题。

某小程序因为AppSecret泄露，导致攻击者可以通过调用API获取该小程序敏感数据，如接口调用凭证、用户信息、用户使用数据等，造成了极大的安全风险。

二、浅谈获取access_token

获取接口调用凭证实质就是获取access_token。在微信接口开发中，许多服务的使用都离不开Access Token，Access Token相当于打开这些服务的钥匙，正常情况下会在7200秒内失效，重复获取将导致上次获取的Token失效，本文将首先介绍如何获取Access Token。

按微信官方的说明，access_token是公众号的全局唯一接口调用凭据，公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时，需定时刷新，重复获取将导致上次获取的access_token失效。