文章总结： 这篇文章分享了EDUSRC上两个证书站的未授权访问漏洞挖掘经验。第一个案例通过删除返回包中的跳转代码绕过了登录验证,获取了学生作业信息;第二个案例利用相同技术绕过了就业系统的审核机制。文章指出这类漏洞的根本原因是开发者仅依赖前端跳转进行权限控制,建议开发者在后端进行严格的权限验证。 综合评分： 84 文章分类： 渗透测试,SRC活动,WEB安全,漏洞分析

EDUSRC未授权连拿两个证书站

原创

zkaq-l123456

掌控安全EDU

2025年12月23日 14:18 江西

记得之前有篇文章跟大家分享过，对于系统登陆的渗透思路，基本上就是

1、 弱口令（一般情况下需要运气或者收集到不错的账号密码字典）

2、用户注册、找回密码功能处寻求逻辑洞

3、sql 注入等（在稍微比较新的系统里很难出）

4、看框架利用 nday

5、看 js 有没有未授权接口等 （任何页面的 js 接口都值得关注下，即使前端展示的页面很简单

想必大家弱口令、sql 注入这些漏洞文章看的很多了，靠 id 遍历水平越权也是不少。那么这次来看点不一样的——未授权

证书站一：

开头登录框，这次没有拿到账号密码，也没有注册和忘记密码等功能，但翻看 js，找到一个接口，是登录后的某个接口 home/index，我放入浏览器访问，又给我弹回了登陆页面，

随后我打开 burp 看看数据包，

开发你这家伙，掩耳盗铃是吗，访问未授权的页面，只给代码前面加一个跳转的代码就行，那我直接把这个返回包的跳转代码一删除不就好了

好吧又给我提示了，我又把 “您没有权限访问此页面”几个字在返回包里面找

找到你了，（结合上下代码，就大概意思是会对本地键值做检验，看是否登录了

ok 继续删了，别校验我 -_-。

也是成功进入页面了，接下来不管点哪个页面，都只需在返回包里删除第一行  “掩耳盗铃式” 的跳转重定向代码。虽然后续具体删除添加学生信息功能后端会校验，但可以创建新班级，并且页面中已经泄露一千多条学生作业信息。没有身份证，所以混个中危 2rank 拿证书。

证书站二：

第二个证书学校案例是个就业系统，

可以企业注册，一般逻辑是：招人的企业注册后，需要管理员通过审核，你就可以发布招聘信息，参加招聘会等等。

这里我们注册了一个企业的账号，来到发布职位处，什么都没显示

看 bp 包

开发你……又把跳转代码放到真正页面代码的前面，我又删

正常显示了

后面也在学校招聘信息上看到了我发布的测试信息，随后测试完就删除测试职位信息，不能打扰到学校正常招聘。

也是依旧中危 2rank 拿下证书。

最后：

两个洞都属于是，程序员在未授权的处理上，仅仅使用后端返回的跳转重定向代码来阻止显示出未授权页面，那我们拦截返回包删除这个代码后，就可未授权操作或者看到敏感信息了。虽然不算是高危洞，但中危是可以的了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-l123456《EDUSRC未授权连拿两个证书站》