某学院存在信息泄露及暴力破解漏洞

由于网站本身泄露了身份证与考生号，可以通过 site:域名 身份证/学号 这种方式进行收集

进行收集资产的时候发现此登录框，并且可以使用考生号进行登录，而且身份证号为后6位，那么只需要爆破31次就可以爆破出密码
这边我使用的是yakit（个人感觉很好用）

爆破完成之后也是直接拿到了身份证号等其他敏感信息

通过此次实战发现信息收集非常重要，以及细心发现每一个功能点也非常重要