库查询,笔者还发现BALANCE表中的BALANCE字段存放了考场预付款的余额信息,只要进行跨库更新,这个金额完全可以改变。
这时候,笔者突发奇想,既然可以得到考场程序,我们是不是可以私设一个考场……
心动不如行动,马上开始安装考试系统。安装过程非常复杂,需要config.dts文件(网站上没有)。
正当笔者不知怎么办的时候,突然发现了企业邮箱服务,PROMETRIC为每一个考场都开设了新浪企业邮箱。
这些考场会不会为了方便没有改默认密码呢?果然很多考场没有更改默认密码,笔者很轻松地就进入了这些邮箱。经过一番搜索,终于在一个考场的邮箱中找到了PROMETRIC发过来的config.dts文件……
到这里,本次安全测试算是告一段落了。试想一下,如果私自安装了考场程序,我们是不是可以随意修改考生信息?如果更改预付金,是不是还可以免费报名考试?而且利用考场ID和密码,我们在网站上可以更改任何一个考场的注册信息,然后通过社会工程手段,克隆出一个虚假的考场是完全有可能页码:[1] [2] [3] [4] [5] [6] 第5页、共6页 |
