一次逻辑漏洞的挖掘加上对SRC平台的吐槽

八期小弟怀着激动的心情去挖教育SRC，怀着激动的心情发现某学校逻辑漏洞，反正就是很激动！
想看哪个学校，直接site:*.edu.cn 注册、登录等等都可以，一般这样的功能点多的地方会容易找漏洞

这里我先注册两个账号
账号1:zhangsan1 密码:1234567
账号2:wangerni1 密码:1234567

进入个人信息修改页面，提交抓包，发现有ID字段，ID字段为11006

账号2:wangerni1 密码:1234567

同样登陆进去，进入修改个人信息页面，抓包
又发现ID字段，ID为11007，发现ID字段是递增的

后面我又注册了五六个账号，验证了这个字段确实是递增的，而且在数据包中明文传输，看起来应该存在问题
下面登陆wangerni1这个账号，这个账号对应的ID字段为11007，提交修改然后抓包

然后放包，页面提示修改个人信息成功

此时查看wangerni1的个人信息，发现信息并没有改变，但是此时在已经登录的状态下查看zhangsan1的个人信息，显示数据错误，无法查看

尝试退出重新登录

页面提示无法登录，此时，我们就实现了越权对其他账户进行修改，并且实现了让其他账户无法正常登录，后面我对我我注册的一些用户全都进行了测试，全部无法正常登录
如果遍历ID这个字段，可以让系统内的所有用户都无法正常登录，导致所有用户无法正常使用系统！！

下面是吐槽

我觉得对于我们学习，对于一种漏洞能够实现一次，懂了原理实践一两次就够了。
大多数的厂商都认为我们是给他们在找麻烦，我也不想多说了，不论是某某盒子，还是教某SRC，也就那样吧。
不如花时间学技术，多花时间提升自己，以后赚十几k，几十k，那多舒服，希望我们学院的学员都能多花时间学技术，大家共勉！！