公司组织的一次网上非技术方面的开放考试,有10张试卷,试题比较多,都是选择题,应该是有题库;
考了几张试卷后,向看看评卷后台有没有漏洞:
1. firefox
2. 提交试卷时,post方式,明文,包含token、exams、activityUserId、activityid、challengeAgainOneLevel、currentNumber等
每次提交,只有字段exams、currentNumber变化(token等不变)=》说明有可能是不校验试卷的
currentNumber为试卷号
其中,exams是如下格式,包含试题id(questionid)、选择id(answerid)等吧,settingid不清楚是什么,可能和试卷id有关系吧;
3. 想着先试试,F12后,提交当前试卷(第5张);把上一次成功提交的post请求,选择“编辑并重发”,上次提交的currentNumber是5,这次修改currentNumber=6,直接提交,竟然成功了;
=》说明评卷时,没有校验试卷,只是校验了上报的试题id,和选择的答案id,是否匹配,如果匹配,就算通过;都通过,就算该张试卷通过;
不过,最后都答完后,平台有查看答题记录,查看第6张试卷,为空,但是却是通过状态;
=》说明平台会记录每个人的每张试卷,只是评卷环节有漏洞
扫一扫
1340
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
