WeChat JSSDK 任意域名签名漏洞

目标端点: www.sh.10086.cn/weixin/app CWE-284

本页面部署于外部域名 10086cn-2zl.pages.dev, 使用从目标端点获取的有效签名,冒充"上海移动"公众号的 JSSDK 身份。

验证目标: 确认服务器是否无条件为任意域名生成有效签名,以及攻击者实际能利用哪些能力。

步骤一:初始化 wx.config

1加载内嵌签名数据
2校验当前域名与签名域名一致
3调用 wx.config()
4wx.ready() 是否触发

日志