某同仁医院微信公众帐号注入

最近一年多微信很火,虽然我个人没什么需求,但是对公众平台还是很感兴趣的,另外乌云上报了不少相关漏洞,再加上在CB上看到"北京市属三级医院试水微信平台预约挂",所以才有了下面这篇文章。

准备环境及工具:vmware、android-x86(已安装好微信)、sqlmap、wireshark

简单的配置下wireshark,filter规则是"http.request.method == GET":

之后我们先关注"xxx同仁医院"帐号,然后点击几个功能抓下包:

尝试测试注入

http://42.xx.xx.36/department/stopvisit?hid=6(原来是一个显示debug信息的注入,不过我睡了一觉之后再测试就关闭了,太坑比了)

还好注入点还存在:

最后现在很多企业都将重点转向了移动平台,但是可能是准备不充分吧,还是有很多需要注意的。

没有评论:

发表评论