摘要: 在Web安全與小程序逆向分析中,面對成千上萬條HTTP請求日誌,人工審計往往效率低下且容易遺漏邏輯漏洞。本文將介紹一種高效的新型工作流:“Fiddler抓包 + 文本導出 + LLM智能體分析”。通過一個真實的婚戀交友SaaS小程序案例,我們演示瞭如何利用大模型快速破解簽名算法,並從Raw報文中精準挖掘出嚴重級越權(IDOR)與未授權圖牀漏洞。
1. 核心思路:讓LLM成為你的安全審計員
傳統的漏洞挖掘依賴安全專家的經驗,而引入LLM後,我們可以將HTTP報文的上下文理解交給AI。
工作流概覽:
- 數據獲取:利用Fiddler代理抓取小程序業務流量,保存為Raw Text。
- 逆向輔助:利用LLM分析反編譯後的混淆JS代碼,還原簽名算法。
- 智能審計:將HTTP請求/響應報文投餵給安全智能體,自動識別越權、敏感信息泄露等邏輯問題.
graph LR
A[Fiddler 抓包] -->|Save All Sessions as Text| B(HTTP Raw 報文)
C[小程序反編譯] -->|提取 JS 代碼| D(混淆的加密邏輯)
B --> E{LLM 安全智能體}
D --> E
E -->|輸出| F[簽名算法還原]
E -->|輸出| G[漏洞評估報告]
G --> H[人工驗證與復現]
2. 逆向階段:LLM 破解簽名算法
在對小程序解包(使用 KillWxapkg)並定位到關鍵業務邏輯後 ,我們發現所有敏感接口都帶有 signature、nonce、timestamp 等防篡改頭
微信客户端V4.1後小程包位置
C:\Users\用户名\AppData\Roaming\Tencent\xwechat\radium\Applet\packages
命令行解包
KillWxapkg -id=wx857888d1186577f0 -in="__APP__.wxapkg" –restore
關鍵字:getSignatureHeader( 目錄搜索
面對混淆後的JS代碼,直接閲讀非常晦澀。用工具稍微美化下
https://webfem.com/tools/js-decode/index.html
我們提取核心函數 getSignatureHeader 投餵給LLM,並要求其分析加密邏輯。
算法思路
LLM 分析結果: 模型精準識別出簽名算法為 MD5 哈希,並指出了關鍵的拼接順序: $$MD5("xt..." + nonce + fixedUrl + timestamp + salt)$$
這為我們後續偽造請求、驗證漏洞打下了基礎。
3. 漏洞挖掘案例一:HTTP Raw 報文中的越權訪問 (IDOR)
我們抓取了一個查看會員詳情的接口 /api/guest/portal/details/1010 為了測試安全性,我們將包含請求頭、Body及響應數據的完整Raw文本投餵給LLM,提示詞為:“X婚小程序接口抓包如下...請評估WEB安全漏洞”
3.1 LLM 的推理分析
LLM (GLM-4.6) 迅速指出了該報文中存在的嚴重問題,並生成了詳細的評估報告
提示詞
# 角色: Web網絡安全專家 # 簡介:資深Web安全專家,在Web應用安全領域擁有8年以上實戰經驗。精通Web滲透測試、漏洞挖掘與修復、安全架構設計等核心技術,熟悉OWASP Top 10等主流Web安全威脅。曾主導多個大型Web應用系統的安全防護體系建設,成功發現並修復過數百個高危安全漏洞,擅長為Web應用提供從開發到運維的全生命週期安全解決方案。 # 技能: - Web滲透測試與漏洞挖掘 - Web應用安全架構設計 - OWASP Top 10威脅防護 - 安全編碼規範制定 - Web安全測試與評估 - 安全漏洞修復與驗證 - Web安全監控與應急響應 - API安全防護 # 規則: - 遵循Web安全最佳實踐 - 確保符合PCI DSS、等保2.0等安全標準 - 採用"安全左移"開發理念 - 注重安全與用户體驗的平衡 - 持續監控與防護 - 保護用户隱私與數據安全 讓我們一步一步構建Web應用安全防護體系: # 工作流程(輸出中間步驟和中間執行結果): 1. **Web資產識別與風險評估** - 全面清點Web應用資產(URL/接口/參數) - 識別核心業務功能和敏感數據 - 評估現有安全防護措施 - 進行Web威脅建模和風險評級 2. **安全架構設計** - 設計Web分層防禦體系(網絡/應用/數據) - 規劃安全的身份認證與授權機制 - 制定輸入驗證與輸出編碼規範 - 設計CSRF/XSS/SQL注入防護方案 3. **安全開發規範** - 制定OWASP安全編碼指南 - 規範安全配置基線 - 建立安全開發檢查清單 - 實施安全開發生命週期(SDL) 4. **滲透測試與漏洞修復** - 執行全面的Web滲透測試 - 挖掘SQL注入/XSS/CSRF等高危漏洞 - 提供詳細的漏洞報告和修復方案 - 驗證漏洞修復效果 5. **安全監控與防護** - 部署Web應用防火牆(WAF) - 實施實時安全監控 - 建立安全事件響應機制 - 定期進行安全巡檢 6. **API安全防護** - 設計安全的API認證機制 - 實施API訪問控制 - 防護API常見安全威脅 - 監控API異常調用 # 輸出格式: - 完整的Web安全防護方案,包含: - Web資產清單與風險評估報告 - 安全架構設計文檔 - 安全開發規範與檢查清單 - 滲透測試報告與漏洞修復方案 - WAF配置策略 - 安全監控與應急響應計劃 - API安全防護方案 # 關鍵防護點: 1. **輸入驗證** - 對所有用户輸入進行嚴格驗證 - 防範SQL注入、XSS等攻擊 - 實施白名單驗證機制 2. **身份認證** - 採用多因素認證 - 實施強密碼策略 - 防護暴力破解攻擊 3. **會話管理** - 使用安全的會話機制 - 防範會話固定攻擊 - 實施會話超時控制 4. **數據保護** - 敏感數據加密存儲 - 安全傳輸(HTTPS) - 數據訪問控制 # 工具推薦: - 滲透測試:Burp Suite、OWASP ZAP - 漏洞掃描:Nessus、Acunetix - WAF:ModSecurity、Cloudflare - 監控:ELK Stack、Splunk
- 漏洞定性:嚴重漏洞 - 越權訪問 (IDOR)
- 推理依據:
- AI 注意到請求URL中的
1010是一個可遍歷的數字ID - AI 分析出系統未驗證請求者身份與被查詢ID的歸屬關係,“任何已登錄用户都可以通過遍歷用户ID獲取系統中所有用户的詳細信息”
- 敏感信息識別: AI 自動掃描響應體(Response Body),列出了泄露的敏感字段:完整手機號、詳細地址(精確到市縣)、家庭成員、經濟狀況等
3.2 驗證結果
根據LLM的提示,我們嘗試將ID修改為 1009 並重放請求,成功獲取了另一名用户的隱私數據,證實了越權漏洞的存在。
4. 漏洞挖掘案例二:未授權上傳與“非法圖牀”漏洞
在分析文件上傳功能時,我們提取了 /base/file/upload 接口的 Fiddler Session,再次發送給 LLM 進行評估.
4.1 LLM 的深度洞察
這一次,LLM 的發現更為驚人。它不僅指出了技術層面的漏洞,還分析了業務層面的“濫用風險”。
LLM 評估報告核心點:
- 認證缺失(嚴重): AI 敏鋭地捕捉到請求頭中的
Authorization字段為空。這意味着接口沒有任何身份驗證,“任何知道該接口URL的攻擊者都可以直接調用此接口” - 非法圖牀漏洞(中/高危): AI 進一步指出,由於服務器返回了公開的圖片URL, 且缺乏業務邏輯綁定,該接口極易被黑產利用作為“免費圖牀”。
- 風險推演:攻擊者可編寫腳本無限制上傳色情/賭博圖片,利用受害者域名分發非法內容,導致域名被封禁或面臨法律風險.
生成時序圖
LLM反饋修復建議
4.2 漏洞驗證
我們在本地構造請求,刪除 Authorization 頭,直接上傳一張圖片。服務器返回 200 OK 並在響應中給出了公網可訪問的圖片鏈接,證實了LLM關於“認證繞過”和“資源濫用”的判斷完全正確。
Web網絡安全大拿agent
https://yuanqi.tencent.com/agent/bKlNNeiA7NQ4
LLM幫助生成代碼實現Reply
以下是DeepSeek R1複審與建議
關於“非法圖牀漏洞”,在網絡安全行業標準中並沒有一個統一的專有名稱,它通常被歸類為“未經授權的文件上傳漏洞” 或 “不安全的文件上傳漏洞” 。這類漏洞的核心問題在於系統允許用户上傳惡意文件,且缺乏足夠的安全校驗。
下面這個表格彙總了它的核心危害與主流攻擊手法:
|
方面 |
具體説明 |
|
主要危害 |
- 傳播惡意內容:被用於散佈詐騙信息、敏感政治言論或色情內容,損害企業公信力。 - 被用作免費圖牀:消耗服務器資源,可能被競爭對手利用進行造謠。 - 跨站腳本攻擊(XSS):上傳的惡意文件可竊取用户Cookie或執行未授權操作。 - 遠程代碼執行(RCE):上傳包含惡意代碼的圖片,最終可能完全控制服務器。 - 供應鏈攻擊:通過劫持合法軟件更新,誘導用户下載惡意文件。 |
|
常見攻擊方法 |
- 繞過前端校驗:直接偽造請求上傳文件,繞過瀏覽器的格式檢查。 - 上傳惡意文件:將木馬等惡意程序偽裝成圖片上傳,從而控制服務器。 - 製作Polyglot文件:製作同時是有效圖片和惡意腳本/Phar包的文件,欺騙檢查並利用反序列化等漏洞執行代碼。 - 利用解析差異:利用服務器解析文件方式(如文件名、內容)的缺陷,實現XSS攻擊。 |
瞭解了漏洞的巨大危害後,採取嚴格的安全措施至關重要。你可以參考以下幾點進行防禦:
- 嚴格的身份鑑權與訪問控制:確保所有文件上傳操作都經過有效的身份驗證和授權檢查,避免未登錄用户隨意上傳。
- 實施“白名單”策略:嚴格限制可上傳的文件類型,只允許如jpg, png等必要的圖片格式,並校驗文件的Magic Number(魔法數,即文件頭部的特定字節,用於標識文件真實類型),而不僅僅依賴文件後綴。
- 隔離存儲與無執行權限:將用户上傳的文件存儲在Web服務器目錄之外,並通過專門的腳本或URL進行訪問。同時,確保上傳目錄不具備執行權限,防止惡意腳本運行。
- 重命名與掃描:對上傳的文件進行隨機重命名,避免通過文件名直接訪問。對於圖片,可以進行二次渲染或壓縮,以破壞其中可能隱藏的惡意代碼。此外,使用防病毒軟件掃描所有上傳文件。
- 嚴格控制內部資源外泄:確保測試環境、內部工具的訪問地址不對外網開放,避免給攻擊者留下可乘之機。
綜合安全評估與數據分析
根據上述挖掘結果,我們對該小程序的API安全性進行了綜合畫像。
漏洞分佈統計表 :
|
漏洞類型 |
涉及接口 |
風險等級 |
核心成因 |
潛在後果 |
|
越權訪問 (IDOR) |
/guest/portal/details/{id} |
嚴重 |
後端未校驗當前Token用户與請求ID的歸屬關係 |
核心用户數據全量泄露 |
|
認證機制缺失 |
/base/file/upload |
嚴重 |
接口鑑權邏輯存在缺陷,允許空Authorization通過 |
任意文件上傳、服務器資源耗盡 |
|
非法圖牀 |
/base/file/upload |
中/高危 |
缺乏頻率限制、文件類型白名單及業務綁定 |
域名被封禁、法律風險、DDoS |
|
信息泄露 |
通用API |
中危 |
響應數據未脱敏 (如手機號、詳細地址) |
隱私合規問題 |
|
安全配置缺失 |
通用API |
低危 |
X-XSS-Protection: 0 |
增加XSS攻擊成功率 |
5. 總結:LLM 在 Web 安全中的價值
本文通過一個真實的SaaS類小程序案例,詳細覆盤如何通過逆向工程(反編譯)、LLM輔助協議分析(簽名破解),最終挖掘出嚴重的越權訪問(IDOR)與未授權文件上傳(非法圖牀)漏洞。
通過上述案例,我們可以看到 LLM 在處理 HTTP Raw 報文時的巨大優勢:
|
維度 |
人工審計 |
LLM 輔助審計 |
|
上下文理解 |
容易忽略Header細節(如Auth為空) |
全量掃描,精準識別字段缺失 |
|
敏感數據識別 |
需人工肉眼過濾 |
自動提取手機號、地址等隱私字段 |
|
風險關聯 |
關注技術漏洞(如上傳Shell) |
業務視角,關聯出“非法圖牀/資源耗盡”等濫用場景 |
|
效率 |
單個接口需數分鐘分析 |
秒級生成結構化報告 |
下一步建議: 在日常的小程序或Web滲透測試中,建議將 Fiddler/Burp Suite 的流量導出 與 LLM 分析 標準化為固定流程。利用 LLM 的推理能力,不僅能發現顯性的注入漏洞,更能挖掘出 IDOR、未授權訪問等深層邏輯缺陷。
今天先到這兒,希望對AI,雲原生,技術領導力, 企業管理,系統架構設計與評估,團隊管理, 項目管理, 產品管理,信息安全,團隊建設 有參考作用 , 您可能感興趣的文章:
微服務架構設計
視頻直播平台的系統架構演化
微服務與Docker介紹
Docker與CI持續集成/CD
互聯網電商購物車架構演變案例
互聯網業務場景下消息隊列架構
互聯網高效研發團隊管理演進之一
消息系統架構設計演進
互聯網電商搜索架構演化之一
企業信息化與軟件工程的迷思
企業項目化管理介紹
軟件項目成功之要素
人際溝通風格介紹一
精益IT組織與分享式領導
學習型組織與企業
企業創新文化與等級觀念
組織目標與個人目標
初創公司人才招聘與管理
人才公司環境與企業文化
企業文化、團隊文化與知識共享
高效能的團隊建設
項目管理溝通計劃
構建高效的研發與自動化運維
某大型電商雲平台實踐
互聯網數據庫架構設計思路
IT基礎架構規劃方案一(網絡系統規劃)
餐飲行業解決方案之客户分析流程
餐飲行業解決方案之採購戰略制定與實施流程
餐飲行業解決方案之業務設計流程
供應鏈需求調研CheckList
企業應用之性能實時度量系統演變
如有想了解更多軟件設計與架構, 系統IT,企業信息化, 團隊管理 資訊,請關注我的微信訂閲號:
作者:Petter Liu
出處:http://www.cnblogs.com/wintersun/
本文版權歸作者和博客園共有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連接,否則保留追究法律責任的權利。 該文章也同時發佈在我的獨立博客中-Petter Liu Blog。
