文章总结： 本文介绍利用小程序跳转工具测试未授权访问和越权漏洞的方法，通过反编译获取页面路径后强制跳转至需实名认证的页面，演示了如何发现隐藏界面并配合控制台脚本实现自动化测试。文档提供了具体操作步骤和代码示例，并补充了将小程序当作Web应用测试的实战思路。 综合评分： 85 文章分类： WEB安全,渗透测试,漏洞分析,实战经验,安全工具

小程序跳转工具测未授权和越权

访问某页面 F12 跑 wx.navigateTo

console 控制台脚本：

let pages = ["/pages/index/index","/pages/knowledge/knowledge","/pages/tools/tools?id=20260324"];
let index = 0;
function navigateNext() {
    if (index >= pages.length) return;
    wx.navigateTo({
        url: pages[index],
        success: () => {
            index++;
            setTimeout(navigateNext, 3000); // 下一次跳转延时 3s
        },
        fail: () => {
            console.error("跳转失败");
        }
    });
}
// 启动
navigateNext();

注意：pages 前面要加 /

代码来源：https://mp.weixin.qq.com/s/kQCCdfVLke1K5Xzdjwq4hQ

演示： 其他思路

• • 把小程序当 Web 测 || 实战案例深度拆解路由跳转中的权限漏洞挖掘 https://mp.weixin.qq.com/s/hTEjuNHF-k8053nejSZ1Jw

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：进击的HACK 进击的HACK 进击的HACK《用小程序跳转工具测未授权和越权思路》