记一次教育网课src前端漏洞(事件性)

最新推荐文章于 2024-08-23 11:32:50 发布
最新推荐文章于 2024-08-23 11:32:50 发布
阅读量3k 收藏 1
点赞数
分类专栏: web安全专栏 文章标签: 安全 经验分享 其他 恰饭
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42943680/article/details/104872304
版权
本文记录了一次关于教育网课平台前端安全漏洞的事件,该漏洞允许用户通过前端调试工具绕过不能复制粘贴的限制。通过输入特定数字并使用浏览器开发者工具进行操作,可以实现内容的非法复制和修改,虽然不算严重安全漏洞,但仍存在潜在风险。
摘要由CSDN通过智能技术生成

这开头都要从蝙蝠说起…

是一个针对,作业不能粘贴

而引发的

总的来说,算不上安全漏洞

但也是一个漏洞

不多说,上图在这里插入图片描述

不能复制粘贴

在这里插入图片描述

随便输入一个数字,利用google前端调试工具,或者火狐debug

在这里插入图片描述
利用左上角“跳转“按钮调转到你输入的数字那,然后从网上”复制“下你要粘贴的内容,然后在那个你找到的数字那进行“修改”如下图

在这里插入图片描述
回车在这里插入图片描述
好了,成功

漏洞测试结束

Mhyer
关注
专栏目录
一次src挖洞实战——逻辑漏洞
wulanlin的博客
01-08 6117
前言 在学习了大量web逻辑漏洞的知识后,想进行实战。练练手。作为小菜鸡的我,这是我第二次进行实战挖洞,可能会存在许多问题。望各位大师傅多多指点。 闲话少说,直接开整 实战 1.信息收集 首先,在src中找了一个网站应用,获得其域名地址为 “****.****.com”。 接下来就是一些常规操作(信息收集)啦。。。 1. 域名反查IP 我使用的是“超级ping”网站,不仅可以查看域名对应的IP地址,还可以查看其网址是否使用CDN技术,至于CDN技术是什么,我就不多说啦。 可以.
国内SRC漏洞挖掘技巧与经验分享
01-29
SRC经验文档
手把手教学 edu src 漏洞挖掘(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
07-10 1864
显而易见的是查询功能,那么第一反应是sql注入,如果有waf,可以轻微尝试绕过,因为edu中的系统相对于企业中就脆弱多了,当然sql注入理解的越深入,那么你挖sql注入的概率越大,任然常规操作,可以看看逻辑漏洞是否可以直接爆出密码这些。可以看到我这里使用bp进行接口爆破,然后配上bp的插件HAE,可以检测到一些存在未授权访问,敏感信息泄露的信息,常见的比如身份证号、手机号、姓名、家庭地址、毕业信息什么的。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
小白快速入门src挖掘(以edusrc平台为例)
最新发布
jennycisp的博客
08-23 1406
edusrc挖掘心得我们可以在关于页面看到edusrc的收录规则【----帮助网安学习,以下所有学习资料文末免费领!----】教育部各省、自治区教育厅、直辖市教委、各级教育局学校教育相关软件可以看到不仅是大学的资产、还有小学初中高中的教育局的也可以交到上面、而资产不仅只有网站,也可以从小程序,app方面入手,不过这方面利用难度就要大一些一些思路0x01信息搜集收集到别人收集不到的资产,就能挖到别人挖不到的洞。网络空间测绘奇安信的鹰图,fofa等。
教育src挖掘经验
qq_54803507的博客
07-20 1715
教育SRC挖掘经验及思路
教育src漏洞挖掘-2023-白帽必挖出教程
热门推荐
qq1140037586的博客
09-12 1万+
作为刚接触渗透的小伙伴儿肯定都想快速挖到漏洞提交平台获取注册码,或者想获取更多积分换取证书,这篇文章就是为了帮助各位师傅们快速上手挖取教育src
小白学习SRC漏洞挖掘的系统教学
m0_71744960的博客
06-14 574
较合理的途径应该从漏洞利用入手,不妨分析一些公开的CVE漏洞。很多漏洞都有比较好的资料,分析研究的多了,对漏洞的认识自然就不同了,然后再去搞挖掘就会易上手一点!
一次SRC站点测试
蚁景网安学院
12-05 681
01前言这是一篇较基础的常规渗透测试科普文,包含信息收集,暴力破解,SQL注入,文件上传,及在遇到问题时的一些想法及思路,希望各位看完能有所收获。本文配合瓜子可乐食用效果更佳。 PS:测...
SRC——教育漏洞平台
qi_SJQ_的博客
02-25 4013
常规漏洞:利用漏扫工具扫,或者拿到url跑脚本批量验证,挂在服务器上批量跑就行了 特殊漏洞(定点检测):经常关注最新安全情报(知道创宇、cvvd等平台),收集最新poc、exp,或者自己去二次开发后拿去跑 切遵守相关法律法规,验证漏洞存在就够了。 教育平台评分规则(以官网为主): ...
补天漏洞厂商资产数据爬虫以及总漏洞量可视化分析
浪子燕青的博客
02-23 2399
title: 补天厂商数据爬虫 copyright: true top: 0 date: 2019-07-11 23:04:53 tags: 爬虫 categories: 爬虫笔 permalink: password: keywords: 补天爬虫 description: 一次简单的信息获取,尝试对补天厂商数据爬取 他希望快点完成这个交易,把后路给断了,没了后路就不用怕什么了,谁说的来着,想要翻过一堵高墙,最好的办法是先把自己的帽子扔过去,这样你自然就有了翻墙的决心。 补天的厂商分为专属SRC,公.
SRC漏洞挖掘实战经验总结
10-28
最近几年总结收集的SRC漏洞挖掘实战经验,希望对你有帮助。
第86天:SRC挖掘-教育行业平台&规则&批量自动化1
08-03
SRC 挖掘-教育行业平台&规则&批量自动化参考:https://src.sjtu.edu.cn/introduction/1.法律法规:第八条 按照对信息系统
edusrc-web:edusrc用户主页数据分析与查询
03-15
"edusrc-web:edusrc用户主页数据分析与查询"这一主题主要涵盖了在Web环境中针对edusrc网站用户主页的数据分析和查询技术。这通常涉及到前端开发、数据处理以及用户行为分析等多个方面。 首先,HTML(HyperText ...
实战-edusrc漏洞挖掘
hackzkaq的博客
11-07 1299
登录之后发现了其他几个未授权的,这里就不一一叙述了,感觉还有sql注入和文件上传,但是有安恒edr和白名单限制,本人太菜,没有绕过就放弃了,最后给了一个4rank,部分漏洞还有人提交过,幸好我提的多,要不可能一分也没有,src重复的真的太多了《头疼》。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。不得不说,还真有啊,虽然没有给我直接的密码,但是却给了我重置密码的页面!所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨守法.
SRC漏洞挖掘经验+技巧篇
dzqxwzoe的博客
06-18 3268
我们经常听到漏洞这个概念,可什么是安全漏洞?想给它一个清晰完整的定义其实是非常困难的。如果你去搜索一下对于漏洞的定义,基本上会发现高大上的学术界和讲求实用的工业界各有各的说法,漏洞相关的各种角色,比如研究者、厂商、用户,对漏洞的认识也是非常不一致的。从业多年,我至今都找不到一个满意的定义,于是我自己定义一个:安全漏洞是信息系统在生命周期的各个阶段(设计、实现、
SRC漏洞挖掘技巧(0基础入门到精通),只要收藏这一篇就够了!!
logic1001的博客
03-20 2347
这里是由零信任安全实验室组建的一个知识平台,平台有批量验证的脚本、工具以及一些漏洞的POC,后续还会分享网络安全资源(漏洞挖掘文章 工具 资讯)以及SRC漏洞挖掘案例分享等等,资源多多,干货多多!请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者和本公众号无关。工具来自网络,安全自测。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值