文章总结： 该文档记录了一次对某211大学系统的安全测试过程，发现存在敏感信息泄露和未授权访问漏洞。测试人员通过收集到的账号登录后，发现API接口存在未授权查询token的漏洞，利用该漏洞可越权获取管理员token并查询大量敏感信息。文档展示了具体的测试步骤和漏洞验证过程，并提供了安全团队招新信息。 综合评分： 72 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,安全意识

记一次对某211大学敏感信息泄露

锅盖 锅盖

OnePanda-Sec

2026年5月16日 17:33 浙江

在小说阅读器读本章

去阅读

OnePanada-Sec 招新啦

招新要求

• 热爱网络安全，喜欢 CTF；
• 拥有 CTF 比赛经验，有较好比赛成绩的；
• 乐于奉献、热爱分享，愿意提升自己同时帮助他人；
• 时间允许参加各类赛事，服从战队管理与安排；
• 各类比赛获奖者、能力出众者视情况考量；
• 未参与其他高校联队；
• 大一同学视情况放宽资历要求。

联系方式

请将个人简历发送至以下邮箱：

简历邮箱：[email protected]

#

信息泄露

账号密码: xxxxxxxxxxxx/xxxxxxxxxxxxxx

开局登录框 但是已经收集到一个账号 开测

开局就是一个信息泄露 然后继续测别的api

越权

后面又发现一个未授权

接口能未授权查询token

可以看到能直接返回token

替换Hsnt-Auth

此为账号A的token查询 因为此账号无审批记录 所以查询信息数据包不显示 我们替换其他账号试试

查询到一个admin的账号

再把token替换过去看看

替换 能查询到大量信息

这里师傅们看的有点乱是因为 开局我们收集到的就是这个admin账号 后面发现api能够查询到其他账号token 然后再用的普通USER去测试的越权

PART 03

微信QQ交流群

欢迎大家加入[ OnePanda-Sec ] 群聊一起交流 ^ ^

END

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnePanda-Sec 锅盖 锅盖《记一次对某211大学敏感信息泄露》