文章总结： 本文详细记录了某大学小程序和学生信息系统的漏洞挖掘过程，通过抓包工具发现越权访问、敏感信息泄露及XSS漏洞。作者利用搜索引擎获取学号与身份证信息，通过Burp抓包实现全校学生隐私数据遍历，并演示了修改参数越权查看缴费票据、绕过黑名单过滤实现XSS攻击等实操步骤。文章强调所有测试均需授权，并附有工具使用指南。 综合评分： 72 文章分类： 渗透测试,WEB安全,漏洞分析,实战经验,安全意识

edu某大学的小程序和学生信息系统漏洞挖掘

zkaq – 洛川 zkaq – 洛川

掌控安全EDU

2026年6月22日 12:00 江西

在小说阅读器读本章

去阅读

扫码领资料

获网安教程

本文由掌控安全学院 – 洛川 投稿

来Track安全社区投稿~

千元稿费！还有保底奖励~（   https://bbs.zkaq.cn   ）****

小程序抓包方法

小程序抓包方法还是挺多的

• 直接使用fiddler进行小程序抓包

这里不做演示

• 电脑系统设置配合Burp抓包小程序 这种方法打开电脑系统设置——>网络和internet——>代理——>手动设置代理——>设置

然后直接配置代理IP和端口即可，当然记得在Burp中加上设置的IP和端口，下面输入框和选项不影响

• Proxifter配合Burp抓包小程序

这种方法在此不做演示

• Clash配合Burp抓包小程序

这种方法需要Clash PC段系列软件配合，因为Clash的全局代理功能异常强大，因此我们直接使用Clash开启全局代理

打开Clash for Windows，默认设置即可

在配置中使用默认配置

然后在Burp设置抓包IP和端口即可，如果使用默认设置端口即为7890，也可自行进行更改

然后在右下角右键选择全局代理即可愉快抓取小程序包

信息收集

从搜索引擎通过Googlehacking语法获取学号和身份证，site：xxx.edu.cn “身份证””学号” filetype:xls ，这里就不多赘述了

小程序挖掘

微信搜索此大学的公众号，发现后勤公众号

点击智慧公寓

输入账号密码，账号密码在搜索引擎所得，为学号和身份证后六位

打开bp抓包并点击住宿信息，连续放包后得到这个数据包

发包即可得到页面没有的敏感信息数据

遍历personsn可得到全校学生的敏感信息数据（18年至23年都可以得到）

经测试，点击报修和报修中的我要报修也可得到此数据包

学生信息系统挖掘

来到系统，账号为学号/密码为sfz后六位

进入系统

点击收入查询并抓包

StudentNo 为学生学号，返回包中有大量敏感数据

同时遍历StudentNo参数实现越权获取全校学生敏感信息

然后点击缴费明细然后点开年份点开查看电子票据图片即可查看本人的电子缴费单

抓包，点击查看电子票据图片

修改数据包url中的参数

然后可以遍历所有人的电子票据

接着，点开学生缴费汇总

修改studentNo即可查询所有人的学生缴费信息

接着点开我的

在框中输入xsspayload即可弹窗,这里存在黑名单，过滤了a标签和script标签，直接换个标签即可

同时，这里不经过验证可以直接修改学生的信息

到这测试就结束了

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+交流群+靶场账号哦

分享后扫码加我！

回顾往期内容

网络安全人员必考的几本证书！

文库｜内网神器cs4.0使用说明书

重生HW之感谢客服小姐姐带我进入内网遨游

手把手教你CNVD漏洞挖掘 + 资产收集

【精选】SRC快速入门+上分小秘籍+实战指南

代理池工具撰写 | 只有无尽的跳转，没有封禁的IP！

点赞+在看支持一下吧~感谢看官老爷~

你的点赞是我更新的动力

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq – 洛川 zkaq – 洛川《edu某大学的小程序和学生信息系统漏洞挖掘》