实战利用LLM辅助小程序逆向与HTTP报文漏洞挖掘
<p></p><h2></h2><p><font size="3"><strong> 摘要</strong>: 在Web安全与小程序逆向分析中,面对成千上万条HTTP请求日志,人工审计往往效率低下且容易遗漏逻辑漏洞。本文将介绍一种高效的新型工作流:<strong>“Fiddler抓包 + 文本导出 + LLM智能体分析”</strong>。通过一个真实的婚恋交友SaaS小程序案例,我们演示了如何利用大模型快速破解签名算法,并从Raw报文中精准挖掘出<strong>严重级越权(IDOR)与未授权图床</strong>漏洞。</font></p><p></p><font size="3"></font><h2>1. 核心思路:让LLM成为你的安全审计员</h2><p><font size="3">传统的漏洞挖掘依赖安全专家的经验,而引入LLM后,我们可以将HTTP报文的上下文理解交给AI。</font></p><p><font size="3"><strong>工作流概览</strong>:</font></p><ol><li><font size="3"><strong>数据获取</strong>:利用Fiddler代理抓取小程序业务流量,保存为Raw Text。</font></li><li><font size="3"><strong>逆向辅助</strong>:利用LLM分析反编译后的混淆JS代码,还原签名算法。</font></li><li><font size="3"><font size="3"><strong>智能审计</strong>:将HTTP请求/响应报文投喂给安全智能体,自动识别越权、敏感信息泄露等逻辑问题.</font></font></li></ol><p></p><font size="3">graph LR
A -->|Save All Sessions as Text| B(HTTP Raw 报文)
C[小程序反编译] -->|提取 JS 代码| D(混淆的加密逻辑)
B --> E{LLM 安全智能体}
D --> E
E -->|输出| F[签名算法还原]
E -->|输出| G[漏洞评估报告]
G --> H[人工验证与复现]
</font><font size="3"></font><h2>2. 逆向阶段:LLM 破解签名算法</h2><p><font size="3">在对小程序解包(使用 <code>KillWxapkg</code>)并定位到关键业务逻辑后 ,我们发现所有敏感接口都带有 <code>signature</code>、<code>nonce</code>、<code>timestamp</code> 等防篡改头 </font></p><p><font size="3">微信客户端V4.1后小程包位置</font></p><p><font size="3">C:\Users\用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages</font></p><p><font size="3">命令行解包</font></p><p><font size="3">KillWxapkg -id=wx857888d1186577f0 -in="__APP__.wxapkg" –restore</font></p><p><font size="3"></font></p><p><font size="3">关键字:getSignatureHeader( 目录搜索</font></p><p></p><p><font size="3">面对混淆后的JS代码,直接阅读非常晦涩。用工具稍微美化下 </font></p><p>https://webfem.com/tools/js-decode/index.html</p><p></p><p></p><p><font size="3">我们提取核心函数 <code>getSignatureHeader</code> 投喂给LLM,并要求其分析加密逻辑。</font></p><p></p><p><strong><font size="3">算法思路</font></strong></p><p></p><p><font size="3"><strong>LLM 分析结果</strong>: 模型精准识别出签名算法为 MD5 哈希,并指出了关键的拼接顺序: $$MD5("xt..." + nonce + fixedUrl + timestamp + salt)$$</font></p><p><font size="3">这为我们后续伪造请求、验证漏洞打下了基础。</font></p><font size="3"></font><h2>3. 漏洞挖掘案例一:HTTP Raw 报文中的越权访问 (IDOR)</h2><p><font size="3"> 我们抓取了一个查看会员详情的接口 <code>/api/guest/portal/details/1010 </code>为了测试安全性,我们将包含请求头、Body及响应数据的完整Raw文本投喂给LLM,提示词为:“X<em>婚小程序接口抓包如下...请评估WEB安全漏洞</em>” </font></p><p></p><h5><font size="3">3.1 LLM 的推理分析</font></h5><p><font size="3">LLM (GLM-4.6) 迅速指出了该报文中存在的严重问题,并生成了详细的评估报告 </font></p><p><font size="3"><strong>提示词</strong></font></p><p><font ># 角色: Web网络安全专家 # 简介:资深Web安全专家,在Web应用安全领域拥有8年以上实战经验。精通Web渗透测试、漏洞挖掘与修复、安全架构设计等核心技术,熟悉OWASP Top 10等主流Web安全威胁。曾主导多个大型Web应用系统的安全防护体系建设,成功发现并修复过数百个高危安全漏洞,擅长为Web应用提供从开发到运维的全生命周期安全解决方案。 # 技能: - Web渗透测试与漏洞挖掘 - Web应用安全架构设计 - OWASP Top 10威胁防护 - 安全编码规范制定 - Web安全测试与评估 - 安全漏洞修复与验证 - Web安全监控与应急响应 - API安全防护 # 规则: - 遵循Web安全最佳实践 - 确保符合PCI DSS、等保2.0等安全标准 - 采用"安全左移"开发理念 - 注重安全与用户体验的平衡 - 持续监控与防护 - 保护用户隐私与数据安全 让我们一步一步构建Web应用安全防护体系: # 工作流程(输出中间步骤和中间执行结果): 1. **Web资产识别与风险评估** - 全面清点Web应用资产(URL/接口/参数) - 识别核心业务功能和敏感数据 - 评估现有安全防护措施 - 进行Web威胁建模和风险评级 2. **安全架构设计** - 设计Web分层防御体系(网络/应用/数据) - 规划安全的身份认证与授权机制 - 制定输入验证与输出编码规范 - 设计CSRF/XSS/SQL注入防护方案 3. **安全开发规范** - 制定OWASP安全编码指南 - 规范安全配置基线 - 建立安全开发检查清单 - 实施安全开发生命周期(SDL) 4. **渗透测试与漏洞修复** - 执行全面的Web渗透测试 - 挖掘SQL注入/XSS/CSRF等高危漏洞 - 提供详细的漏洞报告和修复方案 - 验证漏洞修复效果 5. **安全监控与防护** - 部署Web应用防火墙(WAF) - 实施实时安全监控 - 建立安全事件响应机制 - 定期进行安全巡检 6. **API安全防护** - 设计安全的API认证机制 - 实施API访问控制 - 防护API常见安全威胁 - 监控API异常调用 # 输出格式: - 完整的Web安全防护方案,包含: - Web资产清单与风险评估报告 - 安全架构设计文档 - 安全开发规范与检查清单 - 渗透测试报告与漏洞修复方案 - WAF配置策略 - 安全监控与应急响应计划 - API安全防护方案 # 关键防护点: 1. **输入验证** - 对所有用户输入进行严格验证 - 防范SQL注入、XSS等攻击 - 实施白名单验证机制 2. **身份认证** - 采用多因素认证 - 实施强密码策略 - 防护暴力破解攻击 3. **会话管理** - 使用安全的会话机制 - 防范会话固定攻击 - 实施会话超时控制 4. **数据保护** - 敏感数据加密存储 - 安全传输(HTTPS) - 数据访问控制 # 工具推荐: - 渗透测试:Burp Suite、OWASP ZAP - 漏洞扫描:Nessus、Acunetix - WAF:ModSecurity、Cloudflare - 监控:ELK Stack、Splunk</font></p><ul><li><font size="3"><strong>漏洞定性</strong>:<strong>严重漏洞 - 越权访问 (IDOR)</strong> </font></li></ul><p></p><ul><li><font size="3"><strong>推理依据</strong>:
</font></li><ol><li><font size="3">AI 注意到请求URL中的 <code>1010</code> 是一个可遍历的数字ID </font></li><li><font size="3"><font size="3">AI 分析出系统未验证请求者身份与被查询ID的归属关系,“任何已登录用户都可以通过遍历用户ID获取系统中所有用户的详细信息” </font></font></li></ol></ul><p></p><ul><li><font size="3"><strong>敏感信息识别</strong>: AI 自动扫描响应体(Response Body),列出了泄露的敏感字段:完整手机号、详细地址(精确到市县)、家庭成员、经济状况等 </font></li></ul><h5><font size="3">3.2 验证结果</font></h5><p><font size="3">根据LLM的提示,我们尝试将ID修改为 <code>1009</code> 并重放请求,成功获取了另一名用户的隐私数据,证实了越权漏洞的存在。</font></p><font size="3"></font><h2>4. 漏洞挖掘案例二:未授权上传与“非法图床”漏洞</h2><p><font size="3">在分析文件上传功能时,我们提取了 <code>/base/file/upload</code> 接口的 Fiddler Session,再次发送给 LLM 进行评估.</font></p><h5><font size="3">4.1 LLM 的深度洞察</font></h5><p><font size="3">这一次,LLM 的发现更为惊人。它不仅指出了技术层面的漏洞,还分析了业务层面的“滥用风险”。</font></p><p><img width="988" height="768" title="image"alt="image" src="https://img2024.cnblogs.com/blog/15172/202511/15172-20251127185458234-182258919.png" border="0"></p><p><font size="3"><strong>LLM 评估报告核心点</strong>:</font></p><ol><li><font size="3"><strong>认证缺失(严重)</strong>: AI 敏锐地捕捉到请求头中的 <strong><code>Authorization</code> 字段为空</strong>。这意味着接口没有任何身份验证,“任何知道该接口URL的攻击者都可以直接调用此接口”
</font></li><li><font size="3"><strong>非法图床漏洞(中/高危)</strong>: AI 进一步指出,由于服务器返回了公开的图片URL, 且缺乏业务逻辑绑定,该接口极易被黑产利用作为“免费图床”。
</font><ul><li><font size="3"><strong>风险推演</strong>:攻击者可编写脚本无限制上传色情/赌博图片,利用受害者域名分发非法内容,导致域名被封禁或面临法律风险.</font></li></ul></li></ol><p><font size="3"><strong>生成时序图</strong></font></p><p></p><p><font size="3"><strong>LLM反馈修复建议</strong></font></p><p></p><h5><font size="3">4.2 漏洞验证</font></h5><p><font size="3">我们在本地构造请求,删除 <code>Authorization</code> 头,直接上传一张图片。服务器返回 <code>200 OK</code> 并在响应中给出了公网可访问的图片链接,证实了LLM关于“认证绕过”和“资源滥用”的判断完全正确。</font></p><h2>Web网络安全大拿agent</h2><p>https://yuanqi.tencent.com/agent/bKlNNeiA7NQ4</p><p></p><p><font size="3"><strong>LLM帮助生成代码实现Reply</strong></font></p><p></p><p><font size="3"><strong>以下是DeepSeek R1复审与建议</strong></font></p><p><font size="3">关于“非法图床漏洞”,在网络安全行业标准中并没有一个统一的专有名称,它通常被归类为“未经授权的文件上传漏洞” 或 “不安全的文件上传漏洞” 。这类漏洞的核心问题在于系统允许用户上传恶意文件,且缺乏足够的安全校验。</font></p><p><font size="3">下面这个表格汇总了它的核心危害与主流攻击手法:</font></p><p></p><table border="0" cellspacing="0" cellpadding="0"><tbody><tr><td><p>方面</p></td><td><p>具体说明</p></td></tr><tr><td><p>主要危害</p></td><td><p>- 传播恶意内容:被用于散布诈骗信息、敏感政治言论或色情内容,损害企业公信力。</p><p>- 被用作免费图床:消耗服务器资源,可能被竞争对手利用进行造谣。</p><p>- 跨站脚本攻击(XSS):上传的恶意文件可窃取用户Cookie或执行未授权操作。</p><p>- 远程代码执行(RCE):上传包含恶意代码的图片,最终可能完全控制服务器。</p><p>- 供应链攻击:通过劫持合法软件更新,诱导用户下载恶意文件。</p></td></tr><tr><td><p>常见攻击方法</p></td><td><p>- 绕过前端校验:直接伪造请求上传文件,绕过浏览器的格式检查。</p><p>- 上传恶意文件:将木马等恶意程序伪装成图片上传,从而控制服务器。</p><p>- 制作Polyglot文件:制作同时是有效图片和恶意脚本/Phar包的文件,欺骗检查并利用反序列化等漏洞执行代码。</p><p>- 利用解析差异:利用服务器解析文件方式(如文件名、内容)的缺陷,实现XSS攻击。</p></td></tr></tbody></table><font size="3"><strong>如何有效防范</strong></font><p><font size="3">了解了漏洞的巨大危害后,采取严格的安全措施至关重要。你可以参考以下几点进行防御:</font></p><ul><li><font size="3">严格的身份鉴权与访问控制:确保所有文件上传操作都经过有效的身份验证和授权检查,避免未登录用户随意上传。</font></li><li><font size="3">实施“白名单”策略:严格限制可上传的文件类型,只允许如jpg, png等必要的图片格式,并校验文件的Magic Number(魔法数,即文件头部的特定字节,用于标识文件真实类型),而不仅仅依赖文件后缀。</font></li><li><font size="3">隔离存储与无执行权限:将用户上传的文件存储在Web服务器目录之外,并通过专门的脚本或URL进行访问。同时,确保上传目录不具备执行权限,防止恶意脚本运行。</font></li><li><font size="3">重命名与扫描:对上传的文件进行随机重命名,避免通过文件名直接访问。对于图片,可以进行二次渲染或压缩,以破坏其中可能隐藏的恶意代码。此外,使用防病毒软件扫描所有上传文件。</font></li><li><font size="3">严格控制内部资源外泄:确保测试环境、内部工具的访问地址不对外网开放,避免给攻击者留下可乘之机。</font></li></ul><h2>综合安全评估与数据分析</h2><p><font size="3">根据上述挖掘结果,我们对该小程序的API安全性进行了综合画像。</font></p><p><font size="3"><b>漏洞分布统计表</b> :</font></p><table border="0" cellspacing="0" cellpadding="0"><tbody><tr><td><p><b><font size="3">漏洞类型</font></b></p></td><td><p><b><font size="3">涉及接口</font></b></p></td><td><p><b><font size="3">风险等级</font></b></p></td><td><p><b><font size="3">核心成因</font></b></p></td><td><p><b><font size="3">潜在后果</font></b></p></td></tr><tr><td><p><b><font size="3">越权访问 (IDOR)</font></b></p></td><td><p><font size="3">/guest/portal/details/{id}</font></p></td><td><p><b><font size="3">严重</font></b></p></td><td><p><font size="3">后端未校验当前Token用户与请求ID的归属关系</font></p></td><td><p><font size="3">核心用户数据全量泄露</font></p></td></tr><tr><td><p><b><font size="3">认证机制缺失</font></b></p></td><td><p><font size="3">/base/file/upload</font></p></td><td><p><b><font size="3">严重</font></b></p></td><td><p><font size="3">接口鉴权逻辑存在缺陷,允许空Authorization通过</font></p></td><td><p><font size="3">任意文件上传、服务器资源耗尽</font></p></td></tr><tr><td><p><b><font size="3">非法图床</font></b></p></td><td><p><font size="3">/base/file/upload</font></p></td><td><p><b><font size="3">中/高危</font></b></p></td><td><p><font size="3">缺乏频率限制、文件类型白名单及业务绑定</font></p></td><td><p><font size="3">域名被封禁、法律风险、DDoS</font></p></td></tr><tr><td><p><b><font size="3">信息泄露</font></b></p></td><td><p><font size="3">通用API</font></p></td><td><p><font size="3">中危</font></p></td><td><p><font size="3">响应数据未脱敏 (如手机号、详细地址)</font></p></td><td><p><font size="3">隐私合规问题</font></p></td></tr><tr><td><p><b><font size="3">安全配置缺失</font></b></p></td><td><p><font size="3">通用API</font></p></td><td><p><font size="3">低危</font></p></td><td><p><font size="3">X-XSS-Protection: 0</font></p></td><td><p><font size="3">增加XSS攻击成功率</font></p></td></tr></tbody></table><font size="3"></font><h2>5. 总结:LLM 在 Web 安全中的价值</h2><p><font size="3">本文通过一个真实的SaaS类小程序案例,详细复盘如何通过逆向工程(反编译)、LLM辅助协议分析(签名破解),最终挖掘出严重的越权访问(IDOR)与未授权文件上传(非法图床)漏洞。</font></p><p><font size="3">通过上述案例,我们可以看到 LLM 在处理 HTTP Raw 报文时的巨大优势:</font></p><p></p><table border="0" cellspacing="0" cellpadding="0"><tbody><tr><td><p><b>维度</b></p></td><td><p><b>人工审计</b></p></td><td><p><b>LLM 辅助审计</b></p></td></tr><tr><td><p><b>上下文理解</b></p></td><td><p>容易忽略Header细节(如Auth为空)</p></td><td><p><b>全量扫描</b>,精准识别字段缺失</p></td></tr><tr><td><p><b>敏感数据识别</b></p></td><td><p>需人工肉眼过滤</p></td><td><p><b>自动提取</b>手机号、地址等隐私字段 </p></td></tr><tr><td><p><b>风险关联</b></p></td><td><p>关注技术漏洞(如上传Shell)</p></td><td><p><b>业务视角</b>,关联出“非法图床/资源耗尽”等滥用场景</p></td></tr><tr><td><p><b>效率</b></p></td><td><p>单个接口需数分钟分析</p></td><td><p>秒级生成结构化报告</p></td></tr></tbody></table><p><font size="3"><strong><br></strong></font></p><p><font size="3"><strong>下一步建议</strong>: 在日常的小程序或Web渗透测试中,建议将 <strong>Fiddler/Burp Suite 的流量导出</strong> 与 <strong>LLM 分析</strong> 标准化为固定流程。利用 LLM 的推理能力,不仅能发现显性的注入漏洞,更能挖掘出 IDOR、未授权访问等深层逻辑缺陷。</font></p><p><font size="3"><br></font></p>今天先到这儿,希望对AI,云原生,技术领导力, 企业管理,系统架构设计与评估,团队管理, 项目管理, 产品管理,信息安全,团队建设 有参考作用 , 您可能感兴趣的文章:<br><font size="2">微服务架构设计</font><br><font size="2">视频直播平台的系统架构演化</font><br><font size="2">微服务与Docker介绍</font><br><font size="2">Docker与CI持续集成/CD</font><br><font size="2">互联网电商购物车架构演变案例</font><br><font size="2">互联网业务场景下消息队列架构</font><br><font size="2">互联网高效研发团队管理演进之一</font><br><font size="2">消息系统架构设计演进</font><br><font size="2">互联网电商搜索架构演化之一</font><br><font size="2">企业信息化与软件工程的迷思</font><br><font size="2">企业项目化管理介绍</font><br><font size="2">软件项目成功之要素</font><br><font size="2">人际沟通风格介绍一</font><br><font size="2">精益IT组织与分享式领导</font><br><font size="2">学习型组织与企业</font><br><font size="2">企业创新文化与等级观念</font><br><font size="2">组织目标与个人目标</font><br><font size="2">初创公司人才招聘与管理</font><br><font size="2">人才公司环境与企业文化</font><br><font size="2">企业文化、团队文化与知识共享</font><br><font size="2">高效能的团队建设</font><br><font size="2">项目管理沟通计划</font><br><font size="2">构建高效的研发与自动化运维</font><font size="2"> <br></font><font size="2">某大型电商云平台实践</font><font size="2"> <br></font><font size="2">互联网数据库架构设计思路</font><font size="2"> <br></font><font size="2">IT基础架构规划方案一(网络系统规划)</font><font size="2"> <br></font><font size="2">餐饮行业解决方案之客户分析流程</font><font size="2"> <br></font><font size="2">餐饮行业解决方案之采购战略制定与实施流程</font><font size="2"> <br></font><font size="2">餐饮行业解决方案之业务设计流程</font><font size="2"> <br></font><font size="2">供应链需求调研CheckList</font><font size="2"> <br></font><font size="2">企业应用之性能实时度量系统演变</font><font size="2"> </font><font size="2">
</font><p><font size="2">如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯,请关注我的微信订阅号:</font></p>
<p></p>
<p id="PSignature" ><font size="4">作者:Petter Liu <br>出处:http://www.cnblogs.com/wintersun/ <br>本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
该文章也同时发布在我的独立博客中-Petter Liu Blog。</font></p><br>来源:程序园用户自行投稿发布,如果侵权,请联系站长删除<br>免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]