文章总结： 本文记录某校访客预约小程序越权漏洞测试过程。通过修改请求包中的ID参数成功越权取消他人预约，同时发现小程序存在appkey/appsecret和wxappid/wxsecret两处敏感信息泄露，并验证可利用泄露凭证获取AccessToken。文章展示了具体的测试方法但未提供修复建议。 综合评分： 72 文章分类： 渗透测试,WEB安全,漏洞分析,移动安全,实战经验

[EDU]一次小程序的越权

原创

略懂安全的三秋 略懂安全的三秋

略懂安全的三秋

2026年4月8日 16:49 广西

开局小程序起手

这里是某校的一个访客预约系统，像这样的系统一般先测试越权，所以这里预约一手。

先取消预约并抓包

我们观察一下请求包，请求包里有Cookie和id，Cookie不是jwt所以我是不考虑测他的，所以就只能尝试修改id了。

登录另一个微信号进行相同的操作。

回到第一个请求包改一下id

显示取消成功，没有出现鉴权字样，回到页面

来到另一个小程序

这个小程序没什么可测的，因为都做了鉴权。

我们去解一下小程序的包

使用工具发现两处泄露

appkey appsecret泄露

wxappid wxsecret泄露

尝试能不能利用

wxappid wxsecret可以获取

可以获取AccessToken

appkey appsecret也可以获取钉钉

由于传播、利用本公众号所提供的信息而造成``的任何直接或者间接的后果及损失，均由使用``者本人负责，公众号略懂安全的三秋不``为此承担任何责任，一旦造成后果请自行承担！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：略懂安全的三秋 略懂安全的三秋 略懂安全的三秋《[EDU]一次小程序的越权》