记某大学校园平台关于小程序AppSecret密钥泄露漏洞
0x1 前言
这次给师傅们分享的文章是关于小程序AppSecret密钥泄露导致的相关漏洞,这个也是在挖掘EDUSRC漏洞的时候关注的一个知识点,蛮多师傅对于这个漏洞还是比较陌生的,AppSecret是小程序的密钥,然后我们可以通过AppSecret获取access_token值,然后执行一些危害操作,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险。
下面我就先给师傅们介绍下微信小程序AppSecret和access_token相关知识点,然后后面再把我今天挖到的EDU的一个AppSecret密钥泄露漏洞给师傅们分享下。
0x2 小程序AppSecret密钥泄露漏洞
一、漏洞介绍
AppSecret是小程序的唯一凭证密钥,也是获取小程序全局唯一后台接口调用凭证(access_token)的重要参数,需要开发者妥善保管至后台服务器中,并严格保密,不向任何第三方等透露。小程序若存在AppSecret密钥泄露漏洞的情况,会造成身份信息仿冒、敏感数据外泄等严重后果,开发者应及时发现该漏洞并快速修复相应问题。
某小程序因为AppSecret泄露,导致攻击者可以通过调用API获取该小程序敏感数据,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险。
二、浅谈获取access_token
获取接口调用凭证实质就是获取access_token。在微信接口开发中,许多服务的使用都离不开Access Token,Access Token相当于打开这些服务的钥匙,正常情况下会在7200秒内失效,重复获取将导致上次获取的Token失效,本文将首先介绍如何获取Access Token。
按微信官方的说明,access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时,需定时刷新,重复获取将导致上次获取的access_token失效。
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:2 金币
| 用户名 | 金币 | 积分 | 时间 | 理由 |
|---|---|---|---|---|
| 98k | 4.00 | 0 | 2024-10-24 20:08:28 | 一个受益终生的帖子~~ |
打赏我,让我更有动力~
返回:技术文章投稿区
技术文章
我很低调
发表于 1个月前
1
评论列表
加载数据中...
阿然
发表于 1个月前
1
评论列表
加载数据中...
spider
发表于 1个月前
1
评论列表
加载数据中...
machccl
发表于 1个月前
1
评论列表
加载数据中...
baili
发表于 1个月前
感谢分享
评论列表
加载数据中...
guidie
发表于 1个月前
11
评论列表
加载数据中...
aacc
发表于 1个月前
涨知识了
评论列表
加载数据中...