文章总结： 本文描述了一次小程序授权渗透测试。作者利用携带凭证的扫描发现Swagger接口，定位到权限校验缺失的userlist接口，获取了全员OpenID。利用登录逻辑对OpenID的依赖，成功实现任意账号登录，揭示了身份验证流程中的严重安全隐患。 综合评分： 82 文章分类： 渗透测试,实战经验,漏洞分析,WEB安全

接口泄露到任意账号登录

原创

pippybear pippybear

安全无界

2026年1月19日 23:38 上海

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

这是之前的一个授权渗透测试，测试目标是一个小程序，话不多说直接上正文。

拿到小程序，直接点击登录，手机号授权登录，丝滑的一批。

进入系统后，发现功能点似乎有点少，有和没有基本没啥区别，那就先脱离小程序，掏出小程序的域名跑一波dirsearch看看有没有啥敏感目录。

很显然，啥也没有，出于好奇，想着带上我的登录凭证再跑呢，结果还真有点东西，有个swagger，emmm，这是一个好的开端。

古语有言，一个好的开始那必然就会有一个丝滑的好结果，果不其然，还真是，有这么一个user list接口权限似乎校验的不严格，导致可查小程序所有用户的user信息。

当然，这不是关键点，关键是前面授权登录的地方，通过简化后（删除无关参数），基本确定就是通过openid来进行登录的，而上面user接口获取到的username即openid值。啥也不说，直接操作，成功丝滑登录其他用户账号。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全无界 pippybear pippybear《接口泄露到任意账号登录》