 |
1
quake0day Sep 7, 2012
1、有风险
2、不是很多 我以前也做过这个系统信息的抓取和解析 http://www.darlingtree.com/wordpress/archives/314 http://www.darlingtree.com/wordpress/archives/287 |
 |
2
dndx Sep 7, 2012
既然要了用户名和密码,应该就不是利用漏洞了吧,应该是模拟登录 + HTML分析得出的结果。
不过国内教务系统漏洞的确多的要死,越权访问一大堆,比如号称清华开发的某教务系统,只要登录进去(随便什么帐号都行)就能看到别人的课表甚至老师的课表,技术水平实在不敢恭维。 |
 |
3
koon_kai Sep 7, 2012
这个应用是我学校的学生做的,具体也没去了解过。
|
 |
4
mew7wo Sep 7, 2012
貌似大多数学校用的教务系统都是一样的,所以解析应该不难。
|
 |
5
humiaozuzu Sep 7, 2012
就是模拟登录然后解析json的。。。 而且我也做了我们学校的web版 = =
|
 |
6
kojp Sep 7, 2012
模拟登录 ~~~~ 但我没成功过。
|
 |
7
0racleTink Sep 7, 2012
我写过我们学校的,查成绩用的
|
 |
8
Semon Sep 7, 2012
为什么没人觉得是和各大高校谈好然后做接口的呢?
|
 |
9
fly2never Sep 8, 2012
很多系统都是那个正方做的
|
|
10
humiaozuzu Sep 8, 2012
@Semon 这个很明显不需要谈,fiddler抓包5分钟搞定。
|
|
11
Semon Sep 8, 2012
@humiaozuzu 如果这样输入密码不就是个很傻并且会影响产品发展的事么?作者会那么笨么?
|
|
12
humiaozuzu Sep 8, 2012  1
@Semon 这种第三方的都是可以保存用户密码的,而且没有办法。 而且大部分用户是不知道这些的。
|
 |
13
wcp1231 Mar 16, 2013
验证码也是直接识别的?
|
Select Language