记一次在线学习平台的漏洞利用 注：此漏洞已汇报给IT，已被修复 目录 漏洞介绍 具体实现 整体实现代码 漏洞介绍 在线学习平台study.test***.cn中SAT题卡允许用户重复提交，且提交后可获得错题报告，因此可以通过填3次题卡通过报告推出正确选项然后填第4次提交。但由于在提交一次后系统不允许再从主页面创建题卡的句柄，只有创建多个句柄后依次填卡提交才能利用此漏洞。此漏洞可以人为在浏览器中操作利用，但由于人工填4张卡和推到正确选项过于费时，利用脚本模拟浏览器操作更高效。 具体实现 使用了Py