超星有三个版本。
分为:超星1.0、超星2.0、超星3.0

(1).先谈这三个版本吧。在我写的超星BUG(1)介绍了可能由1.0到2.0的蜕变,那么3.0是个什么东西呢?超星2.0继承了超星1.0的大部分功能并做了一定的删改和功能添加,例如学生自助导出试卷就被删除了。超星3.0的发现就比较偶然了,超星3.0会逐渐取代2.0,这是毋庸置疑的。超星的登陆地址为http://passport2.chaoxing.com/login?fid=xxx,然后内部人员在测试超星的时候使用的就是fid=某一串神秘的数字,这是一个名叫xxx后台的,利益牵扯太大不贴图。

(2).这边为了保障社会安全只介绍一下超星3.0的BUG
One.查平时成绩和考试成绩
查成绩总共用过3-4个接口,第一个接口就是2.0的直接修改classid,第二个接口是2.0的成绩排序,第三个接口就是3.0的修改classID查看成绩,由于不判断courseid和classid是否匹配,也不验证账号的cookie权限,所以在很长一段时间是都是可以查看超星所有用户的成绩的,只需要内置一个账号就行了。后期的和谐就是因为1.验证cookie权限。2.验证courseid和classid是否匹配。
Twe.提前查看作业和考试
这个功能是大家最想知道的,但是已经和谐干净了,剩下的方法也不在这里,这里简单讲一下思路,因为超星不验证cookies权限,所以当你有一定的cookies权限的时候,你可以试图查看别的班级的情况,或者尝试用一个学生权限去查看老师的情况。当然方法还有很多,这是最基本的。
Three.跨权限添加superadmin从而查看用户信息
思路自己研究 这里不再叙述了

Categories:

Tags:

No responses yet

发表评论

邮箱地址不会被公开。 必填项已用*标注