xxxx学院身份认证系统有严重的逻辑设计缺陷:账户登录、手机登录、密码找回三个接口找到n个逻辑漏洞包括任意账号密码修改、信息泄露(应该还有更多,但是有很多重复的漏洞,没必要再找了)
edusrc高危漏洞审核通过(还没修复就先打满码码)
做个简简单单的账户信息收集【edusrc账户搜集还挺重要的,因为基本都不能注册,只能用学校学生的账号】
这里直接百度 site:学院url (学号|电话) ,就有挺多的了(学校一般会公示什么什么学生信息)
得到学号格式 —> 年份 1500 xxxx 和若干学生信息
学号登录接口:
这里拿个收集的学号试试:
【Base64加密了数据包传参信息,并没有什么用。】
漏洞一:这里首先有一个验证码不更换长期有效漏洞:
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价:1 金币
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
Track-魔方 | 600.00 | 0 | 2023-11-20 21:09:36 | 深度 200 普适 200 可读 100 奖励 100 |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
yyd
发表于 2023-11-23
换一个开发,简直6得不行
评论列表
加载数据中...
a3701233
发表于 2023-11-26
学习了
评论列表
加载数据中...