最近一年多微信很火,虽然我个人没什么需求,但是对公众平台还是很感兴趣的,另外乌云上报了不少相关漏洞,再加上在CB上看到"北京市属三级医院试水微信平台预约挂",所以才有了下面这篇文章。
准备环境及工具:vmware、android-x86(已安装好微信)、sqlmap、wireshark
简单的配置下wireshark,filter规则是"http.request.method == GET":
之后我们先关注"xxx同仁医院"帐号,然后点击几个功能抓下包:
尝试测试注入
http://42.xx.xx.36/department/stopvisit?hid=6(原来是一个显示debug信息的注入,不过我睡了一觉之后再测试就关闭了,太坑比了)
还好注入点还存在:
最后现在很多企业都将重点转向了移动平台,但是可能是准备不充分吧,还是有很多需要注意的。
转载请注明: 本文《某同仁医院微信公众帐号注入》来源于bstaint的博客
没有评论:
发表评论