文章总结： 本文记录对某高校车辆小程序的渗透测试，通过反编译破解AES加密发现越权查看及修改教师数据的漏洞。作者因测试保存接口时误操作覆盖了真实数据，险些酿成事故。文章警示测试者操作保存类接口需极度谨慎，并建议开发方删除未授权调用的高危接口，以免承担法律责任。 综合评分： 72 文章分类： 渗透测试,WEB安全,实战经验,漏洞分析

记一次差点进编制的漏洞测试

湘安无事

2026年3月3日 23:04 湖南

编者荐语：

学员写的点点关注

以下文章来源于植物人学安全 ，作者qfbsz

植物人学安全 .

面试经验分享、web安全知识分享、src、渗透测试、测试工具、个人学习记录

免责声明

| | | — | | 本文仅用于网络安全技术学习与交流，严禁将文中技术用于任何非法入侵、未授权测试、数据窃取等违法违规行为。因擅自使用本文内容进行非法操作、或传播本文所造成的一切法律责任与经济损失，均由使用者自行承担，与本公众号及作者无关。如有内容侵权，请及时联系我们处理 |

漏洞测试

微信上面找到一个服务号

点击校园车辆有一个小程序资产

点击车辆用户—>违规记录

发现可以看到不属于自己的违规信息，这有点越权的意思，但是没什么信息

一般有小洞就有大洞，抓包查看信息

发现全加密了，这我测个damn啊，直接下机！！！

没办法，开始反编译小程序

全局搜索encrypt。发现加密函数

定位到相关文件，大概率是个aes，这种没混淆的js就直接把整个文件扔个deepseek，碰上混淆的就没办法了，只能调试

ai给出脚本后解密成功

在某个文件中发现大量接口

越权点一

/schoolUser/list

这个接口可以查看所有老师的信息直接构造数据包后发包

越权点二

/schoolUser/save

这是一个保存接口，此时的我还没意识到事情的严重性

直接随便构造id参数为123后发包了

解密响应包后发现内容是请求成功

这时用/schoolUser/list查看，发现成功保存

嗯，成功保存……嗯？不对啊，我是不是把老师信息给覆盖了

给我吓得赶紧找审核说明

最后建议删除接口，保存接口谨慎测试，万一不小心造成破坏那就是直接进编制

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：湘安无事 《记一次差点进编制的漏洞测试》