某同仁医院微信公众帐号注入

最近一年多微信很火，虽然我个人没什么需求，但是对公众平台还是很感兴趣的，另外乌云上报了不少相关漏洞，再加上在CB上看到"北京市属三级医院试水微信平台预约挂",所以才有了下面这篇文章。

准备环境及工具：vmware、android-x86（已安装好微信）、sqlmap、wireshark

简单的配置下wireshark，filter规则是"http.request.method == GET"：

之后我们先关注"xxx同仁医院"帐号，然后点击几个功能抓下包：

尝试测试注入

http://42.xx.xx.36/department/stopvisit?hid=6（原来是一个显示debug信息的注入，不过我睡了一觉之后再测试就关闭了，太坑比了）

还好注入点还存在：

最后现在很多企业都将重点转向了移动平台，但是可能是准备不充分吧，还是有很多需要注意的。

转载请注明: 本文《某同仁医院微信公众帐号注入》来源于bstaint的博客