文章总结： 本文介绍了在某医疗APP授权测试中发现的一个严重逻辑漏洞。测试者发现账户查询接口无需凭证即可根据请求体中的身份证号生成token。通过批量生成并遍历有效身份证号，攻击者可获取任意用户的token，从而实现无密码登录他人账户，建议开发者修复接口认证机制并增加校验逻辑。 综合评分： 78 文章分类： 渗透测试,移动安全,实战经验,漏洞分析

逻辑缺陷之APP任意账号登录

原创

pippybear

安全无界

2025年12月22日 23:09 上海

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

前段时间团队接到了一个授权APP测试，客户要求就是全面一点就行，字里行间都能感受到对方技术大佬的自信，那还说啥，直接开整。

这是一个用医APP，功能点看着很多，不过我们主要关注的是下面这4个功能，其他的功能大多都有点偏或者是属于静态资源，没有啥好关注的（其实：主要是这里面出洞了）。

一个一个测试看是否存在IDOR，但很不幸，都没有，不过在账户查询这里倒是有点小发现，点进去会有一个API用来获取token，且发现这个数据包并没有凭证，也就是说是依靠body内容来生成token的，那不就是大洞嘛。

想想就刺激。

通过至空参数值发现，token的获取取决于身份证号，好家伙，直接拿出工具按地区生成身份证号，一顿遍历，嘎嘎出货，直接登录他人账户。

真是一发入魂，挖洞有时候还说靠运气，有的时候怒怼几天啥也没有，而有的时候感觉来了分分钟出货，说到底还是得靠开发大佬赏饭吃，赶紧梳理内容，同步给客户。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全无界 pippybear《逻辑缺陷之APP任意账号登录》