近期为了疫情防控，所以学校图书馆新搭建了个预约平台
点击登录，默认密码000,这个正常，很多新系统都这样
登录,进入我的中心看看都可以进行哪些骚操作
我的资料和修改密码
emm，修改密码比较有意思，我们看看有什么限制吗
欧，要知道这个人的名字和原密码
原密码好解决，只要他不修改就是000,但是名字的话…

当时我想的第一个方法就是社工库，平常可以通过一定的手段收集到同学们的…手机号，学号，姓名…不过在这里不太适用，那怎么办?

先随便找个人登录进去,检查元素,看看里面的脚本，看会不会有什么惊喜
直接告诉我们他的姓名…卧槽，这不是白给吗…那我们看能不能修改…
修改成功…密码改成了Abc123
太秀了…
欸，本来网站修改密码考虑到了安全问题，但可惜还是不完善，自相矛盾…还希望大家及时修改密码
不然…别人把你账号密码改了…你预约不了…就没人跟他抢了…
考试周，都是为了活命…大家都不容易。。。还是拼手速吧