1 2 APP

记一次挖洞之旅所引发的撕X大战

发布于 2017/10/13 FreeBuF.COM
在上个月,我一直都在跟我的本科学校(迪堡大学)做“斗争”。在对学校网站进行漏洞挖掘的过程中,我发现并上报了一个安全漏洞,这个漏洞还涉及到学校给学生所提供的电子邮箱。在这篇文章中,我将跟大家讨论这个漏洞的技术细节以及我个人对整个事件的看法。 在今年八月份,我在迪堡大学的学生电子服务网站上发现了一个带有隐藏输入点(Hidden Inputs,即<input type=”hidden”>)的表单。这个链接可以将学生重定向到一个包含学生学校邮箱以及相关信息的网页。这条链接与该网站中其他所有的链接都不同,因为它没有<a>标签,它使用的是一个带有隐藏<input>的<form>标签。除此之外,这个表格的类型域为sqlform。不过这个隐藏输入点的名字非常有意思... 登录后阅读全文
本站内收录的所有文章及其中资源(图片、视频等)均来自于互联网,其版权均归原作者及其网站所有。

评论(0)