文章总结： 本文披露了高校访客预约系统存在未授权访问、信息泄露及SQL注入漏洞。作者利用反编译与ID遍历获取了数千条师生敏感信息，并实现OpenID账号接管。建议加强后端校验、使用预编译SQL、部署WAF并修复前端逻辑，以防范数据泄露与越权访问。 综合评分： 84 文章分类： SRC活动,WEB安全,数据泄露,渗透测试,移动安全

后期我们将持续发布原创代码审计、src等漏洞挖掘文章，后期有些源码、挖掘思路等也会放进圈子哈~

有任何问题可后台留言

往期精选

围观

PHP代码审计学习

丨更多

热文

浅谈应急响应

丨更多

·end·

—如果喜欢，快分享给你的朋友们吧—

我们一起愉快的玩耍吧

【免责声明】

“Rot5pider安全团队”作为专注于信息安全技术研究的自媒体平台，致力于传播网络安全领域的前沿知识与防御技术。本平台所载文章、工具及案例均用于合法合规的技术研讨与安全防护演练，严禁任何形式的非法入侵、数据窃取等危害网络安全的行为。所有技术文档仅代表作者研究过程中的技术观察，不构成实际操作建议，更不作为任何法律行为的背书。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Rot5pider安全团队 ashui《【SRC】多个高校访客预约系统存在安全漏洞》