当前位置:首页 > 信息安全 > 正文

由某大学校园平台小程序AppSecret密钥泄露所想

0x1 前言


这次给师傅们分享的文章是关于小程序AppSecret密钥泄露导致的相关漏洞,这个也是在挖掘EDUSRC漏洞的时候关注的一个知识点,蛮多师傅对于这个漏洞还是比较陌生的,AppSecret是小程序的密钥,然后我们可以通过AppSecret获取access_token值,然后执行一些危害操作,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险。

下面我就先给师傅们介绍下微信小程序AppSecret和access_token相关知识点,然后后面再把我今天挖到的EDU的一个AppSecret密钥泄露漏洞给师傅们分享下。

由某大学校园平台小程序AppSecret密钥泄露所想 第1张


由某大学校园平台小程序AppSecret密钥泄露所想 第2张
0x2 小程序AppSecret密钥泄露漏洞


一、漏洞介绍

AppSecret是小程序的唯一凭证密钥,也是获取小程序全局唯一后台接口调用凭证(access_token)的重要参数,需要开发者妥善保管至后台服务器中,并严格保密,不向任何第三方等透露。小程序若存在AppSecret密钥泄露漏洞的情况,会造成身份信息仿冒、敏感数据外泄等严重后果,开发者应及时发现该漏洞并快速修复相应问题。

某小程序因为AppSecret泄露,导致攻击者可以通过调用API获取该小程序敏感数据,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险。


二、浅谈获取access_token

获取接口调用凭证实质就是获取access_token。在微信接口开发中,许多服务的使用都离不开Access Token,Access Token相当于打开这些服务的钥匙,正常情况下会在7200秒内失效,重复获取将导致上次获取的Token失效,本文将首先介绍如何获取Access Token。

按微信官方的说明,access_token是公众号的全局唯一接口调用凭据,公众号调用各接口时都需使用access_token。开发者需要进行妥善保存。access_token的存储至少要保留512个字符空间。access_token的有效期目前为2个小时,需定时刷新,重复获取将导致上次获取的access_token失效。


三、如何获取access_token值?

tips注意

  1. 公众号和小程序均可以使用AppIDAppSecret调用接口来获取access_token。AppID和AppSecret可在“微信公众平台-开发-基本配置”页中获得(需要已经成为开发者,且帐号没有异常状态)。调用接口时,请登录“微信公众平台-开发-基本配置”提前将服务器IP地址添加到IP白名单中,点击查看设置方法,否则将无法调用成功。小程序无需配置IP白名单。

  2. 这儿需要特别说明的是:在调用所有微信接口时均使用https协议;还有就是如果第三方不使用中控服务器,而是使选择各个业务逻辑点各自去刷新access_taken,那么就有可能会产生冲突,导致服务不稳定。

获取Access Token

获取Access Token接口的网址如下:

https请求方式: GET
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=[APPID]&secret=[APPSECRET]


给师傅们看下在一些站点的网页源代码泄露的appidappsecret参数值,长什么样子

由某大学校园平台小程序AppSecret密钥泄露所想 第3张


由某大学校园平台小程序AppSecret密钥泄露所想 第2张
0x3 漏洞利用


一、泄露appid和AppSecret

某小程序因为AppSecret泄露,导致攻击者可以通过调用API获取该小程序敏感数据,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险。

先对小程序网络请求进行抓包,发现请求响应中包含了appid和AppSecret敏感信息,但是有些是key或者secret关键字,被开发者给修改了,这个需要师傅们注意下

由某大学校园平台小程序AppSecret密钥泄露所想 第5张

二、获取Access_Token值

获取Access Token接口的网址如下:

https请求方式: GET
https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=[APPID]&secret=[APPSECRET]


先利用appidAppSecret获取这个大学的微信小程序的Access_Token

显示7200,说明我们的Access_Token值获取成功

由某大学校园平台小程序AppSecret密钥泄露所想 第6张

然后我们有了Access_Token值,我们就可以进行微信小程序的相关操作了,如接口调用凭证、用户信息、用户使用数据等,造成了极大的安全风险。

由某大学校园平台小程序AppSecret密钥泄露所想 第7张

三、漏洞危害

以下是可以造成接口调用凭证、用户信息、用户使用数据等危害的举例:

获取微信服务器IP地址

由某大学校园平台小程序AppSecret密钥泄露所想 第8张

获取小程序用户访问数据

由某大学校园平台小程序AppSecret密钥泄露所想 第9张

还可以使用下面的这个微信小程序官方的接口调用的平台,需要使用我们开始获取到的Access_Token凭据进行调用,然后可以进行相关的操作,具体操作和危害,师傅们可以参考下面的微信小程序的官方文档:

由某大学校园平台小程序AppSecret密钥泄露所想 第10张

四、漏洞修复

若小程序存在相应的AppSecret密钥泄露漏洞问题,请开发者尽快根据以下修复指引进行调整,以便消除风险:

1.后端API接口请勿把AppSecret敏感信息返回给前端(包括前端请求或小程序代码内传输、记录AppSecret);

2.立即登录小程序管理后台,在【开发-开发管理-开发设置】中对AppSecret进行重置。由于Appsecret存在历史泄露且仍然有效,务必进行重置才可消除风险,以免被攻击者恶意利用,请尽快按指引进行修复;

3.对AppSecret进行重置后,请及时修改后台代码,以免无法使用微信API

由某大学校园平台小程序AppSecret密钥泄露所想 第11张


由某大学校园平台小程序AppSecret密钥泄露所想 第2张
0x4 总结

这篇文章主要是给师傅们介绍关于小程序AppSecret密钥泄露漏洞,然后这次也是刚好挖到一个这样的漏洞,就直接给师傅们分享下了。这篇文章希望针对于微信小程序相关的漏洞知识对师傅们有帮助,蛮多师傅对这个漏洞的研究也是没有太多,包括网上上实战的案例也少,所以希望师傅们能够在这篇文章中学习新的知识!

转自:https://mp.weixin.qq.com/s/b_vbohXOVC44jlMjb1oV4g

作者:神农Sec

相关文章

最新文章