乌托邦小程序bug,无验证登录任何账户
今天无聊去抓包了学校一个乌托邦小程序,原本是打算去写个自动发帖凑下人气,结果抓包分析过后,呃呃呃发现了一些bug,
首先参数分析,其中最重要的就是token 和id我抓包了直接去试了,就这俩参数还不会变呃呃神奇。
然后我就写个了程序关注了一些账户。然后用户id看起来应该是递增的所以直接暴力枚举,发现大概用户有一千一百多人。
而且我发现了这个用户信息的返回json中包含用户手机号。这隐私直接返回给前端,就太随便了把。随后突发奇想测试了下如果关注者id和被关注id换一下。让后呃呃,成功关注。看来这个程序明显没有验证,那么也就证明这个系统的数据验证不全面。
注:后来我分享给我朋友了,结果发现呃呃,用户信息值返回json中有id和token我*****,这也太无语了。
接口啥的就不发布了,也别去测试了,坐等官方修复吧!