记简单的一次测试

较为简单，做个记录

测试一个小站点时发现为springboot框架并且swagger-ui.html未授权访问，第一次遇到这个泄露，记录一下，获取接口

其中存在上传文件接口，本人太菜没找到接口参数，但是在另一个/accountManage可直接访问并调用其功能

这里账号密码直接给了，并且存在权限分配，可以将账号权限提升到最高

进入后台首先发现不少的敏感数据（其实swagger-ui.html有获取数据的接口，最先开始没注意到）

后台其他地方未发现之前的文件上传接口，但是存在两处xss，还没弹窗估计系统就因为标签的不正确使用功能点崩了，难评。