记一次在线学习平台的漏洞利用

记一次在线学习平台的漏洞利用 注:此漏洞已汇报给IT,已被修复 目录 漏洞介绍 具体实现 整体实现代码 漏洞介绍 在线学习平台study.test***.cn中SAT题卡允许用户重复提交,且提交后可获得错题报告,因此可以通过填3次题卡通过报告推出正确选项然后填第4次提交。但由于在提交一次后系统不允许再从主页面创建题卡的句柄,只有创建多个句柄后依次填卡提交才能利用此漏洞。此漏洞可以人为在浏览器中操作利用,但由于人工填4张卡和推到正确选项过于费时,利用脚本模拟浏览器操作更高效。 具体实现 使用了Python + Selenium模拟浏览器操作,xpath解析HTML 获取页面 对应代码如下: ch