小程序Appid、AppSecret泄露漏洞总结 漏洞描述AppSecret是小程序的唯一凭证密钥，也是获取小程序全局唯一后台接口调用凭证的重要参数，需要开发者妥善保管至后台服务器中，并严格保密，不向任何第三方等透露。小程序若存在AppSecret密钥泄露漏洞的情况，会造成身份信息仿冒、敏感数据外泄等严重后果，开发者应及时发现该漏洞并快速修复相应问题。漏洞环境搭建如果没有可用的Appid、AppSecret来复现漏洞环境，可以自己注册一个公众号或微信小程序。我有公众号，那么接下来我会用公众号来演示操作。首先登录公众号，然后依次点击：设置与开发-基本配置-开启、重置（第一次显示的都是开启，我这个是已经开启后效果，如果忘记AppSecret可以重置）获取到Appid、AppSecret后还需要设置IP白名单。由于是通过开发者ID及密码调用获取access_token接口的，所以需要把访问来源IP添加到白名单，这样才可以正常使用功能（图片中的ip请替换成你的公网ip）。相关文档手册微信官方手册公众号https://developers.weixin.qq.com/doc/offiaccount/Getting_Started/Overview.html公共错误码https://developers.weixin.qq.com/doc/oplatform/Return_codes/Return_code_descriptions_new.html网页调试工具https://mp.weixin.qq.com/debug/cgi-bin/apiinfo?t=index&type=%E5%9F%BA%E7%A1%80%E6%94%AF%E6%8C%81&form=%E8%8E%B7%E5%8F%96access_token%E6%8E%A5%E5%8F%A3%20/token漏洞复现获取Access token手册说明https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Get_access_token.html获取方式https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET举例子，假如你的Appid是123，AppSecret是456那么获取Access token的链接就为：https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=123&secret=456调用功能通过查看微信官方手册公众号就可以知道可以通过接口使用哪些功能我们用获取用户列表接口举列子可以直接使用手册中的地址补充获取到的Access token请求即可，我这里使用网页调试工具来测试由于我的公众号没有认证所以没有获得相关的权限无法通过接口调用功能。从网上找了成功的案例图片获取小程序用户评论获取小程序用户访问数据冒用小程序身份给用户发送消息

2024国庆小记 吐槽护网从以前的一年一次变成现在一个季度一次。往往不但要同时参加好几个地区的护网，而且时间上经常会重叠，导致周末和假期的时间会被占用根本没有自己的娱乐时间。好不容易等到一个小长假打算回家瞅瞅，好好放松一下。突然就收到护网的通知，得，又回不去了，加班吧……不过这次的国庆假期竟然没有任务安排，爽啦。高铁的车票实在是太难买啦，提前买的车票只候补到了6号的返程车票。1号的回家车票实在是抢不过别人，只能转换战场了——大巴。坐大巴真的太痛苦了。车上有一些上了年纪的乘客听力有点下降看视频声音大点我能理解，但是你把音量拉到最大那就真的不礼貌了。而且还是好多人同样把声音拉大最大，这谁能受得了？我带着降噪耳机都阻挡不了的那种。大巴颠了5个小时终于是到了目的地，一切的不开兴烟消云散。最后20分钟就能到家啦！接下来的假期4个字概括完：吃、喝、玩、乐。吃喝这玩意和李子园一个味，就是包装做的好看这个么，和其他奶茶都差不多在后街逛的时候发现一个小吃店，他的鸡蛋灌饼很好吃。我敢肯定我的那份老板一定觉得格外特殊，因为我只要饼加上酱其他的都不要晚霞不错啊玩乐工作的时候绝大多数的情况都是点外卖的，感觉周边外卖都吃好几轮了。这次回来终于吃上妈妈做的饭菜了，啊！妈妈的味道！周边有个景区火了，吃完早饭就出发到了景区停车位还有好多。远处的度假酒店还是很好看的景区的湖那肯定不会缺少游船项目，不过还是自己开的船更好玩附上一张船长照片喜闻乐见的合照，我爸一拍照手指就僵硬，不知道摆啥姿势哈哈哈哈哈我们的厨房非常干净绝对不会把菜扔在地上

从未授权访问到随意进出后台 1. 常规测试站点首页爆破目录先让他在后面跑着登录框尝试SQL注入、在找前端的接口，最后结果然并卵。2. 杀进后台这时候目录也跑完了看看结果，还真爆装备了。访问目标地址，该页面列举了站内所有的用户。界面上的所有按钮都按了一遍，全都能用。直接新增用户，并设置为管理员组。登陆到后台

博客系统推荐 1. 明确内容类型首先你需要确定你博客内容的类型。是想要纯文档类型，还是带有社交性质的博客。2. 系统类型选择建站最怕的就是被攻击，万一被攻击博客的数据全没了该怎么办？目前博客系统可以分类两大类纯静态式带后台式纯静态的博客无所畏惧，没有任何交互黑客怎么攻击？拿你一丁点办法都没有。后台交互式则恰恰相反。程序本身就是由脚本语言构成，假设被恶意上传木马那你的服务器岌岌可危。另外如果你使用通用型CMS搭建，那你就需要时刻关注使用的CMS系统有没有漏洞被爆出。综上所述个人建议优先使用纯静态式系统来搭建自己的博客系统。3. 纯静态式系统推荐3.1 Hexo封面：简介：Hexo是一个快速、简洁且高效的博客框架。Hexo使用Markdown（或其他渲染引擎）解析文章，在几秒内，即可利用靓丽的主题生成静态网页。即把用户的markdown文件，按照指定的主题解析成静态网页。官网地址：https://hexo.io/系统特色：Node.js所带来的超快生成速度，上百个页面在几秒内完成渲染。Hexo支持GitHub Flavored Markdown的所有功能，甚至可以整合Octopress的大多数插件。只需一条指令即可部署到GitHub Pages, Heroku或其他平台。强大的API带来无限的可能。支持数种模板引擎。可以与现有的NPM包轻松地集成。409个主题，在众多美观、强大、可定制的主题中选择；使用任何兼容的模板引擎创建自己的主题。3.2 Hugo封面：简介：Hugo是一个通用的网站框架。从技术角度来说，Hugo是一个静态网站生成器。与每个访问者请求动态构建页面的系统不同，Hugo在创建或更新内容时构建页面。由于网站被查看的频率远远多于编辑的频率，Hugo旨在为您的网站最终用户提供最佳的查看体验，并为网站作者提供理想的编写体验。官网地址：https://gohugo.io/系统特色：构建时间极快，每个页面不到1毫秒。完全跨平台，在macOS、Linux、Windows等操作系统上安装简单。随开发实时渲染修改，支持LiveReload。强大的主题化能力。可在任意主机托管您的网站。3.3 Vuepress封面：简介：这个系统我们不推荐原生的，推荐他的主题：VuePress Theme Hope。值得一提的是本博客就是使用该系统搭建而成。VuePress在一定程度上扩展了Markdown语法，但仍然缺少一些常用的功能，例如文本对齐、标记、流程图、公式、演示等，同时默认主题提供的一些功能较弱或缺失，如图片预览、代码块复制、目录页等。同时VuePress默认主题太简陋，功能不够强大。在这种情况下，vuepress-theme-hope和一些系列插件就应运诞生。与默认主题相比，不仅大大改进了美观度，而且通过主题插件为VuePress提供了全方位的增强功能。官网地址：https://theme-hope.vuejs.press/系统特色：如果你是一名文学爱好者想放置一些随笔，主题提供了自定义对齐与脚注。我们对图片进行了一些内置增强。如果你希望存放一些知识笔记，主题提供了自定义容器、标记、任务列表、思维导图与公式支持。如果你是一名程序员需要大量展示代码与demo，本主题为代码块提供了浅色与深色两种主题，代码组与代码块复制按钮。同时我们还提供代码演示，Playground Kotlin Playground和Vue Playground功能，方便你展示自己的Vue、React组件或者其他demo。如果你需要提供产品文档与展示，主题提供了选项卡、幻灯片、图表、echarts、流程图、Mermaid图表与Plant UML功能。为了重新组织你的内容，主题提供了文件包含功能。为了设置内容的样式，主题提供了下标和上标、属性设置和样式化功能，并为你提供了很多有用的组件。4. 带后台式系统推荐4.1 Typecho封面：简介：Typecho是由type和echo两个词合成的，来自于开发团队的头脑风暴。Type，有打字的意思，博客这个东西，正是一个让我们通过打字，在网络上表达自己的平台。Echo，意思是回声、反馈、共鸣，也是PHP里最常见、最重要的函数，相信大部分PHP爱好者都是从echo 'Hello,world!';开始自己的PHP编程之路的。 名称就表明Typecho是一款博客程序，它在GPL version 2许可证下发行，基于PHP构建，可以运行在各种平台上，支持多种数据库。官网地址：https://typecho.org/系统特色：轻量高效，仅仅7张数据表，加上不足400KB的代码，就实现了完整的插件与模板机制。超低的CPU和内存使用率，足以发挥主机的最高性能。先进稳定，原生支持Markdown排版语法，易读更易写。支持BAE/GAE/SAE等各类云主机，即使面对突如其来的高访问量，也能轻松应对。简洁友好，精心打磨过的操作界面，依然是你熟悉的面孔，更多了一份成熟与贴心。每一个像素的剪裁，都只为离完美更进一步。4.2 Emlog封面：简介：EMLOG是一款轻量级开源博客和CMS建站系统，速度快、省资源、易上手，适合各种规模的站点搭建。官网地址：https://www.emlog.net/系统特色：Markdown编辑器：内置Markdown编辑器，并自动保存，使创作过程更加舒适和高效。多用户角色：支持多种用户角色，同时提供用户注册和登录功能，方便读者和作者的互动。多媒体资源管理器：内置多媒体资源管理器，方便上传、管理图片、音频、视频和文件等各种媒体资源。模板主题：应用商店提供多种模板主题，轻松打造独具个性的站点。插件生态：拥有强大的插件扩展系统，快速扩展站点功能，满足特定需求。强大的SEO功能：支持文章URL自定义、站点及分类页的TDK定制，有助于提升站点在搜索引擎中的可见性。自定义侧边栏管理：提供灵活的侧边栏组件管理。自定义页面：支持创建自定义页面，包括留言板、个人介绍等，帮助你打造更富有个性和功能的站点。标签和分类：文章可轻松归类和标记，提供更好的信息组织和检索功能。

技术岗为什么要写博客 1. 源始前几天打算带几个在校的学生，教一教技术。消息发到交流群后立马就收到了好几条好友申请。同意后直接灵魂拷问：目前大几、平时有没有记笔记、有没有个人博客、有没有独立挖过漏洞、说几个你认为比较有技术含量的漏洞挖掘经历、是否打算考研、未来的就业方向等。2. 情况概述先说一下人员身份情况：高三的一个在职的两个大三的占大多数高三的我让他一年后再来找我。再说一下问题回复情况：有两个准备考研，我直接建议他们全身心考研就行分心反而不好。其中有个人博客和记笔记习惯的都是在职的人，且自身的能力也是很不错的。加我主要是为了交流经验，学习别人的挖洞思路。有一个大三自学java，有开发基础的同学想学习安全方向的技术，我就建议他向代码审计和安全开发方向靠。因为他只剩下一年的时间，利用有限的时间加上自身有基础的情况这两个方向对于他来说是非常合适的。其他人都有自主挖洞，对漏洞也有自己看法。这么一看显而易见在职的是为了能力提升，在校生是因为爱好、感兴趣和未来就业。3. 对问题解释对问的问题进行解释：目前大几：大一是最好的，时间充足有足够的时间培养从0到1完全不是问题，大三则反之。平时有没有记笔记：问这个主要想看看有没有好的习惯，我深知好记性不如烂笔头这句话的意义。有没有个人博客：个人博客看情况，学生一般生活费有限，服务器的费用对于学生来说本就是一道坎。对于技术岗来说我的建议还是需要有属于自己的博客，后面会展开说。有没有独立挖过漏洞、说几个你认为比较有技术含量的漏洞挖掘经历：这个就很直接了，如果没有挖过漏洞从何而谈的漏洞挖掘经历。打过靶场和看过几个靶场教学视频这也不能算是。你只停留在了理论没有实践过，独立挖洞和看教学视频的明显不同之处就在于对漏洞的理解。未来的就业方向：这是一个很严肃的问题，关乎到你未来的就业和发展。目标不明确难道要一直处在迷糊的状态，这里学习下那里学一下，最后没有一个有所建树。所以尽早定下目标，并且为了达成目标并付出才是正解。4.亲身经历大一通过选拔成功进入学院的网络安全工作室，学长给的第一个要求就是要养成记笔记的习惯。我最讨厌写写画画了，嗤之以鼻觉得完全没有必要，纯属就是在浪费时间不是。但是每周学长会抽看笔记，没办法硬着头皮写一点吧，总比什么都不写被学长骂不是。工作了几年后，再回望这件事完全是一个非常愚昧的行为。以至于我毕业工作后的一段时间里，发现遇到一些情况我拿不准需要大量借助互联网去找别人的笔记来解决我的问题。后来专门花了一段时间从头开始整理笔记，到目前为止这个习惯依然还在保持。5. 技术岗为什么要写博客5.1 记录成长和经历在编写代码的过程中，会遇到各种问题和挑战，而这些经历和成长也是非常宝贵的。写博客可以记录这些经历和成长，分享自己的思考和心得。对知识进行整理、总结和表达，这可以加深自己对技术细节和原理的理解，同时也可以发现自己在某些方面的不足和缺陷，从而更加深入地学习和掌握相关技术。这不仅可以让自己更加深入地理解和反思，也可以给其他伙伴提供参考和启示。5.2 提高技能和深入理解在写博客的过程中，需要对自己所掌握的知识和经验进行深入的分析、整理和总结，从而使自己对这些知识更加深入理解。同时，在写作的过程中，还需要查阅各种资料、阅读源代码、了解底层实现原理等等，这些都有助于提高自己的技能水平。5.3 分享知识和帮助他人通过写博客，可以把自己掌握的知识和经验分享给其他人，帮助他们解决问题、提高技能，让更多的人受益。这不仅有助于提升自己的社会价值和影响力，也可以获得其他人的反馈和建议，从而进一步提高自己的技能和水平。5.4 建立个人品牌和职业发展在互联网时代，个人品牌对于程序员来说越来越重要。写博客可以展示自己的专业知识和经验，树立自己在技术领域的声誉和影响力，提高自己的个人品牌价值。这对于职业发展也是非常有利的，有了好的个人品牌，可以吸引更多的人关注自己，有可能得到更好的职业机会和提升空间。