0x01系统初探

通过fofa对大学进行搜索

fofa:host="edu.cn" && status_code="200"

在随意的翻阅查看时，发现访问xxx.edu.cn登录页面会优先访问登录后的页面，再跳转至登录页面。盲猜应该是前端校验，可以通过抓包拦截跳转页面。

使用burp对跳转的包进行拦截，拦截成功！

0x02未授权访问

查看一下是否存在敏感信息泄漏或者未授权访问

开启f12大法，点击个人信息时发现访问了/Student/Xsxx的接口，并返回一个学生数据。

尝试直接访问student接口，看看会有什么结果
发现500报错了，可能是没有权限，或者数据过大产生的服务器