文章总结： 本文记录了对某大型商超小程序的漏洞挖掘。核心发现包括验证码逻辑缺陷导致多手机号接收同一验证码，以及接口遍历用户ID引发的任意用户登录漏洞。攻击者可修改请求参数接管任意账号并获取敏感信息。经测试，该漏洞在其他十余家类似商超小程序中同样存在，危害较大。 综合评分： 78 文章分类： WEB安全,移动安全,漏洞分析,实战经验

记一大型商超小程序漏洞挖掘

原创

冥夏

表哥带我

2026年1月5日 21:25 广东

❝

由于传播、利用本公众号”表哥带我”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”表哥带我”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢！

输入多个手机号，发来的验证码是一致的

接口遍历用户Id,任意用户登录

登入了任意一个会员，初级会员

这里获取了用户手机号接口

测试另外十几家

拦截请求，修改为要登录的手机号

刷新小程序，返回，显示已登录，中级会员

重复上述步骤，换一家

其他阅读：

摸鱼类

【吃瓜】11班最强黑客到此一游

【吃瓜】“意淫执法哥”别给网安输送人才了

【经验】2025年干网安赚了第一个百万

【吃瓜】web安全太冷门，女朋友竟挖src

【吃瓜】为什么网安人转地陪更有优势

【吃瓜】暗网出现1.97TB罗技数据

被鱼摸类

【全面剖析】台军网络战部队深度研究

【SM】新调教的CTF比赛聚合信息平台

【吃瓜】技术解密美国爱泼斯坦案文件涂黑部分

【吃瓜】测评核弹洞一键“挂黑”的React2Shell-Toolbox

【开源】让对话变成猫娘与TA甜甜的恋爱吧-GalQQ

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：表哥带我 冥夏《记一大型商超小程序漏洞挖掘》