文章总结： 作者以家长身份切入某校小程序，先尝试登录与爆破接口未果，转而利用绑定学生功能获取家长token，再以此token调用web端JS接口，成功批量获取1w+学生身份证及8w+学籍信息，核心漏洞为接口未校验身份越权访问，建议严控token作用域并对接口做细粒度鉴权 综合评分： 78 文章分类： 渗透测试,WEB安全,漏洞分析,SRC活动

edusrc-从家长身份到学工管理员接管

原创

zkaq-l123456

掌控安全EDU

2026年1月7日 15:18 江西

开局：一个学校的小程序端起手，

直接套公式：1、想办法找到账号登录上去

2、测试注册账号、忘记密码等功能

3、去 web 端看看，功能点及 js 接口

这里我搜集到好几个身份证，但输入了身份证号码后六位，居然都登陆不进去（运气也太差了点）

打开这个小程序的 web 端后，

雪瞳插件整理到了 600 多个接口，好家伙，感觉要有东西了

（这里穿插条广告，雪瞳插件真心挺不错的，用了一段时间感觉比 findsomething 更好点，当然也可以结合两个插件一起看，因为都是找 js 接口的嘛）

直接 burp 拼接路径，开始爆破。结果怎么着？一个信息都没出来。全是 403

但我真感觉这个站有洞，长得就一副有洞的样子。

好了，重新回到小程序端，注意到一个功能点，

可以绑定学生信息，行，这里我们用一个收集到的学生身份证绑定，家长信息这里随便填。

点击绑定后，看历史包，给到了我们家长的 accesstoken，但我们依然登录不了学生的账号，页面上只是多出来查看学生成绩的信息。

这时候我们就灵机一动，那我如果给请求头带着这个家长的 token，去请求刚刚 web 端的 600 多个 js 接口呢，话不多说，直接开始。

好吧，有东西了，这个接口可以查询到 1w+的学生身份证。

还有个接口返回了一些 pdf 文件的地址（没保存到截图），下载后一个一个翻看，找到一个操作手册

好好好，写这么清楚

那我们直接登录

也是拿到了这个系统 8w+学生的学籍信息。

不过审核说是有部分重复了，所以差不多就这样了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：掌控安全EDU zkaq-l123456《edusrc-从家长身份到学工管理员接管》