如何从小程序到教务系统
本文是一篇关于网络安全的漏洞分析报告,首先声明所有漏洞已修复,并警告读者不得用于非法活动,分享了一个从微信小程序到教务系统漏洞发现和利用的案例。首先,作者提到大部分小程序支持微信登录,无需账号密码,这为测试提供了入口。在分析一个特定的小程序时,作者发现一个名为“培训报名”的功能中,通过改变`studentId`参数可以访问到其他用户的敏感信息,如姓名、身份证等,揭示了越权漏洞(漏洞点一)。接着,作者利用这些信息尝试登录小程序并成功访问到其他功能,如查看缴费发票,进一步发现了另一个越权漏洞(漏洞点二)。