主页 > 网络知识 > 二维码劫持案例分析(3)

二维码劫持案例分析(3)

 

二维码劫持案例分析

 

python轮询:

 

二维码劫持案例分析

 

当有用户扫描二维码或点击链接。点击确认后,获得openid,组成登录链接:

 

二维码劫持案例分析

 

我们直接访问这个链接,即可成功登录。

C网站登录处存在二维码劫持漏洞

正常请求:(前提:微信绑定了C网站账号,且在微信处登录了C网站账号)

1、网页端访问登录页面:

 

二维码劫持案例分析

 

2、网页端持续轮询,检查二维码状态。这里返回1,表示二维码还没有被扫描

 

二维码劫持案例分析

 

 

二维码劫持案例分析

 

3、手机微信端扫描二维码,发送了一个请求:

 

二维码劫持案例分析

 

响应:

 

二维码劫持案例分析

 

4、网页端轮询,返回值 2,表示二维码已被客户端扫描,但未确认:

 

二维码劫持案例分析

 

 

二维码劫持案例分析

 

网页端显示:

 

二维码劫持案例分析

 

5、手机微信端点击 “确认登录电脑端”

 

二维码劫持案例分析

 

 

二维码劫持案例分析

 

6、轮询接口,返回了登录成功的cookie值:

 

二维码劫持案例分析

 

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!