文章总结： 本文总结了深澜计费管理系统的多个安全漏洞，该系统在高校广泛使用。主要发现包括默认弱口令、后台任意文件读取、未授权用户信息泄露及存储型XSS漏洞，并提供了FOFA资产测绘语法。文章给出了部分复现路径供排查参考，但完整POC被作者作为引流筹码未公开。内容具备基础漏洞排查价值但技术深度一般。 综合评分： 48 文章分类： 漏洞POC,漏洞分析,WEB安全,数据泄露,软文广告

深澜计费管理系统day合集

小叶Sec

2026年3月28日 18:57 江西

以下文章来源于paopao小白入安全 ，作者paopao

paopao小白入安全 .

一个初学网安的菜鸡，日常分享漏洞挖掘和自己的小小心得！！！感谢关注！！！ 学安全要练习就用好靶场

深澜计费管理系统day合集

免责声明： 本文章仅供分享，合法测试
若出现违法行为与本人无关，完全个人行为！

产品简介

• 杭州瀚洋科技有限公司（深澜软件）是全球领先且企业高端用户最多的认证计费技术厂商之一，总部位于中国的杭州。
• 目前全球超过2500家企业选择深澜软件作为其用户认证管理及计费方案；其中在中国Top100高校中有60%使用我们的产品。
• 作为全球认证计费解决方案的领导品牌。

资产测绘

fofa: “/js/xxxxxx/xx.js”

弱口令

srun/123456
test123/123456
admin/admin
admin/Srun@4000

深澜计费管理系统多接口存在后台任意文件读取漏洞

复现步骤（这里只复现其一）

/xxxx/xxxx/xxx/xxx?xxxx=/etc/passwd

用户信息泄露

复现步骤

/xxxx/xxxx/xxxxx?type=2&page=2&per-page=10

存储型XSS

复现步骤

在登陆页面用户名处填入xss语句即可插入

但是需要站长点击日志管理-操作日志才能弹出XSS语句

目前本人复现了仅仅这些，如果想要完整的poc可以关注后私信回复：

深澜计费管理系统poc

📌

免责声明本文仅用于网络安全技术学习、研究与防御交流，不针对任何特定目标。所有内容仅限合法授权环境下使用，严禁未经许可对任何系统进行测试、入侵、破坏或数据窃取。

读者因违规使用造成的一切法律责任与损失由使用者自行承担，本公众号不承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小叶Sec 《深澜计费管理系统day合集》