登陆功能是每个小程序必备的,在小程序的测试过程中发现有些厂商的小程序的登陆功能未做好限制导致ssrf。 如图:点击登录的时候会要求获取昵称、头像等的功能。选择好用户,点击下一步的时候,抓包。 留意数据包的avatarUrl参数 案例1: 案例2: 结果:
发现这个地方很多师傅都不留意,虽然都是无回显,赏金不高,但是在测试过程中可以留意测试一下,反正不亏。
666
