0x00 前言

最近陪别人挖小程序，没有解包操作，就对单纯的数据包进行测试，发现SQL注入还是很多的，小程序开发对接口权限频和SQL繁出现问题，因此导致大量信息泄露。而且在大多数均在json接口中出现，下面是几个简单案例，希望对你有用，学会了后每天一个SQL应该不在话下，这几个案例都是一周之内发现的。

0x01 我爱我的女朋友

本案例废话编辑：北纬以北

实操：浪飒

闲来无事，想挖挖小程序漏洞，然后想到女朋友学校貌似还没动过嘿嘿，要来了账号密码先登录了他们学校的门户网站，一通乱搞，啥也没发现，不死心去小程序看了看，随记录本次测试流程。

前言

之前的白嫖B站图床用不了了，具体我就不截图了，直接上新方法。

本地配置

安装依赖

1
2

pip install requests
pip install requests_toolbelt

填写已登陆Bilibili官网的cookie中的这两个参数

准备工作

1. vps或云服务器
2. putty：SSH远程连接工具
3. ProxySwitchyOmega插件
4. Proxifier：好用强大的Socket代理工具

前言

之前发的EDU查询辅助工具，只用Pyinstaller打包了exe，有MAC的小伙伴想要运行，但是我觉得屎山代码没必要开源，在某一天我将项目源码永久删除，恢复之后乱码，所以没办法满足小伙伴的需求。后面想着找个机会能不能反编译一下，反正代码超简单。

项目介绍

项目地址

https://github.com/langsasec/edusrc

这是之前闲的没事用Flask开发的一个超轻量的网站，主要方便用于EDU_SRC查询具体学校和信息搜集用，最开始是包含Sqlite数据库文件的，后来觉得就两张表，索性把数据查出来放到Python列表里更方便。最后只有一个后端文件main.py和静态资源。

前言

之前一直在用PicGo的图床里面的sm.ms，但因为访问太慢，所以才会想到这么配置

配置教程

温馨提示：只包含Windows程序及教程

​ 党的二十大已经召开，二十大报告总共分为了十五个部分，下面我将简单分析总结下十五个部分如何与网络安全、信息安全产生丝丝缕缕的联系。

什么是浪飒

浪飒：

是一种人生态度，是面对任何事情都不退缩，但以最顺心最适合自己的形式去面对，也是我一生不断追求的精神。浪飒精神代表了我面对任何事情，即使情况再糟糕也依然潇洒的态度，是我面对这残酷的社会和人生最合适的处世方式。

邮箱：

langsa-hy#qq.com （#换成@）

前言

本文对地级市HVV中SQL注入导致连锁反应的两个案例进行分享

前言

上周参加了某地级市HVV，忙的没时间发文章。

本文对HVV过程中出现的未授权或者通过特殊手段绕过的一些未授权案例进行分享。