近期为了疫情防控,所以学校图书馆新搭建了个预约平台点击登录,默认密码000,这个正常,很多新系统都这样
登录,进入我的中心看看都可以进行哪些骚操作
我的资料和修改密码
emm,修改密码比较有意思,我们看看有什么限制吗
欧,要知道这个人的名字和原密码
原密码好解决,只要他不修改就是000,但是名字的话…
当时我想的第一个方法就是社工库,平常可以通过一定的手段收集到同学们的…手机号,学号,姓名…不过在这里不太适用,那怎么办?
先随便找个人登录进去,检查元素,看看里面的脚本,看会不会有什么惊喜直接告诉我们他的姓名…卧槽,这不是白给吗…那我们看能不能修改…
修改成功…密码改成了Abc123
太秀了…
欸,本来网站修改密码考虑到了安全问题,但可惜还是不完善,自相矛盾…还希望大家及时修改密码
不然…别人把你账号密码改了…你预约不了…就没人跟他抢了…
考试周,都是为了活命…大家都不容易。。。还是拼手速吧