文章总结： 本文作者分享了近期挖掘的几个小程序渗透测试案例，涵盖支付逻辑漏洞、信息泄露等。具体包括：1.购票小程序中通过修改订单参数（如用户类型、舱位等级）实现低价享受高价服务；2.利用携童免费政策，通过伪造儿童身份信息实现0元购票；3.通过越权查询订单接口，获取他人订单信息及鉴权字段openId和unionId；4.在电商小程序中遍历收货地址ID，导致全站用户收货地址泄露；5.修改文创商品订单的总费用字段实现0元购；6.在求职小程序中利用模糊查询和大size参数，泄露大量企业联系人信息；7.在社区论坛中，通过篡改帖子置顶价格实现0元置顶，并在文件上传功能中获取阿里云STS凭证，以及通过越权操作让任意跑腿者接单。文章最后强调了在渗透测试中保持安静、关注响应包细节的重要性。 综合评分： 85 文章分类： 渗透测试,WEB安全,实战经验,恶意软件,红队

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：陌笙不太懂安全 《几个小程序挖掘渗透记录》