记一次在线学习平台的漏洞利用
注:此漏洞已汇报给IT,已被修复
目录
漏洞介绍
具体实现
整体实现代码
漏洞介绍
在线学习平台study.test***.cn中SAT题卡允许用户重复提交,且提交后可获得错题报告,因此可以通过填3次题卡通过报告推出正确选项然后填第4次提交。但由于在提交一次后系统不允许再从主页面创建题卡的句柄,只有创建多个句柄后依次填卡提交才能利用此漏洞。此漏洞可以人为在浏览器中操作利用,但由于人工填4张卡和推到正确选项过于费时,利用脚本模拟浏览器操作更高效。
具体实现
使用了Python + Selenium模拟浏览器操作,xpath解析HTML
获取页面
对应代码如下:
ch
