博主发现无法修改已提交的教师评分后,尝试了多种技术手段来重置评分。首先尝试内网渗透和物理攻击,但均未成功。接着,博主利用前端开发经验,通过浏览器控制台找到并调用了评分接口,成功将评分改为999和-1。此外,博主还测试了非法字符,导致系统异常。这揭示了后端数据校验的重要性。
想重新为老师评分,但是当我登进教务系统一看,我的评价已经提交,并且找不到修改的选项了,这可咋办,于是开始网上找资料,最后形成了以下几种方案:
1.通过内网渗透看能不能对账号进行提权,或获取到数据库的配置文件啥的。
2.物理攻击,直接进入机房操作数据库修改教师评分。
3.在浏览器端调用接口修改系统数据。
想好方案后我赶紧捡好书包回到寝室打开电脑,首先花了半个小时尝试使用第一种方案,但是连服务器的内网ip都没有扫到,再加上此方案会留下脚印,直接放弃此方案。
对于第二种方案,由于正值暑假,机房已经封锁,物理攻击不可行。
然后我就尝试第三种方案,对于此方案还是比较有信心的,毕竟作为一个拥有前端开发经验的小菜鸟老说,这种系统流程还是了解的,评价教师的流程大致就是前端通过http请求将打分的数据发给后端,后端保存到数据库。
第一步还是习惯性的打开浏览器的控制台,令我比较意外的是这个系统竟然更新了,使用了XHR请求,将页面和数据的请求分离开来。
那么怎样才能再次提交评分数据,从而达到修改之前评分的效果呢?
当然是的先找到提交的数据的接口了,但是现在已经提交过了,无法再次提交让系统暴露提交接口出来。不过可以想一下既然之前能提交,那么提交接口有关的信息肯定已经加载到我们本地了。
接着我就花了一点时间审查了一下部分能看到的源代码,还真发现了提交的相关代码,感谢程序员小哥哥写了注释。
然后我又画了一点点时间将此代码提取出来,并构建所需要的数据,然后在浏览器的控制台直接调用此接口把评分的数据传给后端。
扫一扫
1012
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
