文章总结： 该文档记录了一次小程序安全渗透测试过程，测试者发现反馈查询功能仅需输入手机号即可查看反馈内容。通过将手机号参数置空，成功绕过后端校验获取系统全部反馈数据，暴露出参数校验缺失导致的信息泄露漏洞。文章展示了空参数绕过的前后端校验差异问题，并提醒开发者需加强后端参数验证。 综合评分： 72 文章分类： 漏洞分析,WEB安全,渗透测试,实战经验,应用安全

没有爆破、没有注入，一个空参数就够了

原创

pippybear pippybear

安全无界

2026年6月22日 20:30 上海

在小说阅读器读本章

去阅读

声明：请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

这是之前的一次授权安全渗透，目标是一个监管小程序，也是挺久没有测小程序了，话不多说，直接开始正文。

直接在微信中找到对应小程序，查看功能情况。

点击进入小程序，发现功能确实单一，似乎就一个反馈功能和反馈查询功能。这任务简单呀，很快就能搞定。就喜欢这种任务了，而且客户还没有那种必须出洞的要求。

简单的在提交反馈功能处测试了一下文件上传和IDOR，似乎都没有，那就再简单看看反馈查询功能就可以打完收工啦。

这里似乎只需要输入反馈时填写的手机号即可，也没有啥验证码之类的。不管了，先输入任意手机号抓包看看。

还真是简单呀，估计不出意外应该也没有啥频率限制，简单试了一下，果然～可遍历手机号（这个也不难，找到这个系统服务的核心城市区域的手机号段，然后就遍历个几位即可），这里就不做陈述。

最后看看置空手机号试试（每次这种场景都会稍微来一下，而且大部分情况都没有令我失望，大部分都只是前端做了一个空入参校验，后端则没有进行任何安全限制），结果还真是一如既往的，直接响应了系统所有的反馈内容。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全无界 pippybear pippybear《没有爆破、没有注入，一个空参数就够了》