记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

某省高等学校学生资助系统两百多万学生信息可被遍历获取

2015-01-01 12:50

1.png



http://jxj.yn012.cn/student/login.jsp

页面下方有这样一句话...提示:登陆系统的默认密码为:123456

全省学生辣么多...肯定有懒得改密码的...而且经测试发现几乎没人改...

于是找个学校,百度下学号格式,这里以云南中医学院为例...

学号:201101010101 密码:123456

2.png



登录成功...在校级公示查询处查询申请表,不填任何筛选信息...

3.png



随便打开一个查看详情...

4.png



5.png



好详细...这个页面的url是http://jxj.yn012.cn/student/appViewPublic.jsp?applyId=2398664&applyTypeId=1&publicType=school

换一个applyId试试...

http://jxj.yn012.cn/student/appViewPublic.jsp?applyId=2111111&applyTypeId=1&publicType=school

6.png



出来了!而且已经是其他学校的学生了...

截至俺提交时经区间测试发现applyId在0000001到2420997之间的学生信息都可访问...涉及全省2420997名学生,而且数字还在不断上升中...

漏洞证明:

1.png



http://jxj.yn012.cn/student/login.jsp

页面下方有这样一句话...提示:登陆系统的默认密码为:123456

全省学生辣么多...肯定有懒得改密码的...而且经测试发现几乎没人改...

于是找个学校,百度下学号格式,这里以云南中医学院为例...

学号:201101010101 密码:123456

2.png



登录成功...在校级公示查询处查询申请表,不填任何筛选信息...

3.png



随便打开一个查看详情...

4.png



5.png



好详细...这个页面的url是http://jxj.yn012.cn/student/appViewPublic.jsp?applyId=2398664&applyTypeId=1&publicType=school

换一个applyId试试...

http://jxj.yn012.cn/student/appViewPublic.jsp?applyId=2111111&applyTypeId=1&publicType=school

6.png



出来了!而且已经是其他学校的学生了...

截至俺提交时经区间测试发现applyId在0000001到2420997之间的学生信息都可访问...涉及全省2420997名学生,而且数字还在不断上升中...

修复方案:

P.S.:

这里都是些穷苦人家的孩子...通常最容易被骗子骗到的也都是这些人...越穷的孩子被骗后越困难...之前听说重庆大学有一个家里不宽裕的学生被骗一万多块后跳湖自杀,很久之后遗体才被发现...想想真的很不是滋味...如果这里的信息也被黑产利用的话...相信也会发生类似的悲剧...希望你们不要给忽视了...

知识来源: www.wooyun.org/bugs/wooyun-2015-083530

阅读:113318 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“某省高等学校学生资助系统两百多万学生信息可被遍历获取”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云