记录一次自己学校一次漏洞挖掘(逻辑漏洞)

最新推荐文章于 2024-05-30 22:30:23 发布
最新推荐文章于 2024-05-30 22:30:23 发布
阅读量362 收藏 3
点赞数
分类专栏: src挖掘 文章标签: 网络安全 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wiofgb/article/details/130510325
版权

 文章目录

前言

入坑网安也有一年多了,在我印象里一直感觉src需要挖到那种0day才算,后面在老师的讲解下才知道原来已经被发现的漏洞也收。

这是我第一次自己尝试挖掘漏洞,也是本人的第一个洞,虽然是一个简单的逻辑漏洞,还请各位大佬多多指教

过程

学习网安这么久了,一直都是打靶场,于是便打算拿自己学校的网站试试看,在测试半天无果后,把目光盯上了学校的教务系统上面

因为是自己学校,也不需要收集学号上面的了,直接拿自己的学号做了一下测试,把学号输入进去,直接获取到了学号对应的手机号

尝试提交到edusrc上

 

总结

说实话,刚开始感觉这个不算是什么漏洞,比较没有什么价值,但是还是感谢审核大佬,通过了我这个不算漏洞的漏洞,让我能接触到更多圈子里的人。也希望更多大佬可以私聊我给我一些指点,感谢!

一只学网安的小白。
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞挖掘技巧分享:getshell学校后台,漏洞已提交
weixin_59086772的博客
08-04 790
近期漏洞挖掘又有小发现,雨笋教育小编来给大家分享干货了 写在前面 最近挖的0day,可以getshell众多学校,这里分享下挖掘技巧,过程也是挺奇幻的~ 过程 1.首先访问目标站点:http://x.x.x.x/default.aspx 可以看到该页面有个登录框,右上角也有个登录按钮。经过后面的测试发现该页面的登录框登录完只能在前台留言;而右上角的那个登录按钮点击进去是后台登录的地址。 该页面的登录框: 右上角的登录按钮点击跳转的后台:http://x.x.x.x/admin/login.
漏洞怎么挖 | SRC上榜技巧
2301_80127209的博客
10-24 424
上方绿色打马赛克的那行是URL需要把那个复制下来放在浏览器里,在URL后面打上英文的问号代表URL传参,然后把下方绿色的字体复制下来,粘贴的时候要注意把它原有的冒号换成问号。为什么这么说呢,因为上面的方法我都已经用过了,所以你们重复的概率会很多(但是我在第一次用这种方法的时候,重复率可以说是极低的)。批量挖掘漏洞的技巧,就是要从已知的漏洞当中提取那些漏洞的特征,在公网上批量搜索这些特征,之后放入某些可以批量验证的工具当中,或者手工测试。掌握了如何找到这些可疑的地方,下一步就是确认这些漏洞并且提交。
p86 SRC挖掘-教育行业平台&规则&批量自动化
weixin_43263566的博客
03-30 1353
p86 SRC挖掘-教育行业平台&规则&批量自动化
高校常见安全漏洞案例分析
01-09
高校常见安全漏洞案例分析
记录一次完整的SRC漏洞挖掘实战
Python_0011的博客
10-07 855
因为不甘心被称作会只点鼠标的猴子,所以开始了一次某SRC漏洞挖掘,为期一个多星期。文章有点长,但请耐心看完,记录了完整的SRC漏洞挖掘实战一句话,柿子要挑软的捏。渗透测试思路最重要,每个人在做渗透测试时的思路都不同,有思路有想法才能进行下去。黑客&网络安全如何学习1.学习路线图攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。2.视频教程。
记一次漏洞挖掘
qq_32660043的博客
04-12 702
写在前面 记录一次项目中漏洞挖掘的过程,文中使用到的技术粗略浅显,仅用来回顾总结。 公司授权项目,目前漏洞已修复,若文中存在漏点之处,各位看官切勿擅自发起攻击,否则产生的一切法律后果自行承担! 挖掘过程 打开首页: 发现右侧有两个用户组注册,果断选择先注册: 注册页面存在两处上传,尝试利用上传功能getshell,发现采用白名单上传,且网站中间件为nginx,测试发现不存在解析漏洞,此路不通。 发现注册时,可以填写备注信息,盲打一波xss,提交注册,然后我们可以等待cookie的到来。 这里运气不错,
第一次挖到sql注入漏洞
m0_66300626的博客
12-12 396
刚学到文件上传文件的小白,充满激情的想要去挖漏洞,我就到各学习社区去看别人第一次如何挖漏洞的。第一次我就去尝试挖了某天的公益的SRC,一套信息收集下来,除了官网没有多少可以继续渗透的,很多子网站都是私密访问链接,没办法就放弃了。作为小白,我们真的要积极多看技术文章来提高自己的技术水平,此次漏洞挖掘也是我再浏览一下文章后才进行的,希望今后能不断多方面学习来拔高自己。今天在在谷歌搜索偶然碰到了一个存在sql注入的网站。
记一次edusrc的漏洞挖掘
Cobra的博客
03-01 5299
在fofa上闲逛的时候发现这个系统,其实之前也碰到过这个系统,当时可能觉得没什么漏洞点就没有管,正好闲着没事又碰到了这个系统,然后就拿过来简单的测试了一下! 二、漏洞挖掘 1、信息收集 由于我是在fofa上发现的这个系统,所以也谈不上什么信息收集,我就直接贴了fofa搜索语法 app="校园地图服务系统" 2、漏洞挖掘 (1)主页就是一个简单的地图界面 (2)使用dirsearch浅扫一下目录吧,结果还真扫出点东西 (3)/actuator/env这不是spring...
记录一次挖掘学校小程序的漏洞逻辑漏洞
Wiofgb的博客
05-24 709
记录一次小程序的逻辑漏洞
PHP漏洞挖掘(一):PHP基础知识讲解——课程资源百度网盘下载.txt
05-06
PHP漏洞挖掘(一):PHP基础知识讲解——课程资源百度网盘下载地址,亲测真实有效可用!包含视频+课程资料.zip,在知识星球中也分享了该资源,知识星球:W小哥
web安全逻辑漏洞挖掘
06-22
web安全逻辑漏洞挖掘
第一节 逻辑漏洞 - 订单金额任意修改-01
09-15
第一节 逻辑漏洞 - 订单金额任意修改-01
记一次在线学习平台的漏洞利用
12-22
记一次在线学习平台的漏洞利用 注:此漏洞已汇报给IT,已被修复 目录 漏洞介绍 具体实现 整体实现代码 漏洞介绍 在线学习平台study.test***.cn中SAT题卡允许用户重复提交,且提交后可获得错题报告,因此可以通过填3...
信息收集思路——漏洞挖掘总结
yuan_boss的博客
08-10 1514
针对不同的SRC要求,厂商可能会给定我们一个资产范围,比如子域名:*yuanboss.com,刚开始我们可以通过给定的域名收集子域名,然后收集目录/端口,为了更进一步,我们就需要找到真实IP,因为子域名都是一些常见的资产,可能找不到漏洞了,这个时候就需要通过IP来查找其他开放服务,进而挖掘漏洞在护网中我们获得信息就是目标名称,比如:xx学校,xx公司,这个时候我们就可以通过这些名字去QCC,天眼查等网站去找对应的公司,然后找到他的官网,接着就是找子域名,信息收集的逻辑就和上面的一样了。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8252
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
linux系统安全及应用
最新发布
Alone8046的博客
05-30 243
一、新的服务器到手该如何部署:1.配置IP地址,网关,dns解析,内外网。3.磁盘分区:lvm及raid。二、应用:1.不需要或者不想登录的用户设置为nologin:usermod -s nologin +用户。解锁文件:chattr -i /etc/passwd。提供了一种标准的身份认证的接口(对账号权限进行控制),可以允许管理员定制化配置各种认证方式和方法。(配置的时候一定要注意:有限放开原则,用什么给什么,不需要的不加)会话管理模块:管理用户的会话,记录会话信息,注销用户的会话,远程终端连接。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 937
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
【竞赛】本科阶段部分证书考试 & 科研竞赛 的 网站导航(算法、项目、安全、数据、科研)
小哈里的博客
05-28 974
【竞赛】本科阶段部分证书考试 & 科研竞赛 的 网站导航(算法、项目、安全、数据、科研) 文章目录 1、算法竞赛(重点) PAT/CSP 天梯赛/蓝桥/力扣 ICPC 算法竞赛 编程工具 代码源 其他 2、项目竞赛 安全与数据(重点) 项目竞赛官网 & 学习资料(独立) 网络安全 & CTF导航(独立) 项目+1(独立) 科研成果(独立) 3、其他补充 党团相关 不挂科 证书考试 零零碎碎 更多
web逻辑漏洞挖掘快速入门到放弃
07-29
web逻辑漏洞挖掘是信息安全领域中的重要一环。下面将以300字回答web逻辑漏洞挖掘的入门和放弃的过程。 首先,入门阶段通常需要掌握基本的网络协议和web开发知识。了解常见的web请求和响应机制,如HTTP,以及掌握...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值