漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-047750
漏洞标题:汇文图书馆管理系统致使数十所高校学生信息可泄露
相关厂商:libsys.com.cn
漏洞作者: deepviolet
提交时间:2014-01-03 15:52
修复时间:2014-02-17 15:53
公开时间:2014-02-17 15:53
漏洞类型:敏感信息泄露
危害等级:低
自评Rank:3
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-01-03: 细节已通知厂商并且等待厂商处理中
2014-01-06: 厂商已经确认,细节仅向厂商公开
2014-01-16: 细节向核心白帽子及相关领域专家公开
2014-01-26: 细节向普通白帽子公开
2014-02-05: 细节向实习白帽子公开
2014-02-17: 细节向公众公开
简要描述:
目前汇文软件图书管理系统由于丰富的功能和优良的用户体验被越来越多的高校图书馆采用,但是经测试发现了一个设计疏忽的漏洞而导致高校师生的信息泄露。
详细说明:
猜测是由于高校方面出于方便的考虑,图书馆个人管理系统用户名与密码均初始化为学号,这就给别人留下了可乘之机:因为师生很少会主动的去更改图书馆管理系统的密码,由于学号的连续性,因此只要找到了学校的学号构建规则(或者直接去谷歌一个对应学校的学号)就可以推而广之获取全校师生的图书馆管理系统的用户名密码(均为学号),使用脚本就可以批量化的进行畅通无阻的登录并获取众多师生的信息(安全意识高,自觉修改密码的除外)。
图书馆读者管理系统主要是记录师生图书借阅情况,并不会跟金钱挂钩,但是读者信息中会泄露师生的姓名,专业,学号,证件号,电话,书刊借阅等信息,因此仅仅根据学号就拿到了全校各个专业师生的姓名学号电话等信息也是很可怕的,如果出于无聊给大多数人更改了密码甚至点击了读者挂失,估计会造成更大损失。
虽然系统提示用户可以自己修改密码,但是永远不要高估用户的安全意识。
漏洞证明:
由于汇文软件图书馆管理系统管理在高校中的推广度很高,因此汇文软件官方网站找到使用汇文图书馆管理系统的用户列表。
因此尝试了上述用户列表中几个学校的图书馆管理系统
南开大学
同济大学
中国政法大学
南京大学
北京理工大学
大连理工大学
用户列表中大部分高校都存在这个问题,我就不过多尝试了。
修复方案:
为了减少损失的风险,还是建议汇文软件在跟高校交付系统的时候,沟通好用户名与密码,尽量使二者不一样(用户名使用学号,密码使用条码号或者身份证后6位均可)。如果都采用学号相当于不设防,虽说系统出于自觉让用户自己修改,但是永远不要高估用户的安全意识。
PS:虽然高校受关注度比较低,但毕竟是汇文的客户,出了师生信息泄露事故引起麻烦终究不好。
版权声明:转载请注明来源 deepviolet@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:3
确认时间:2014-01-06 11:01
厂商回复:
谢谢提醒,这个要我们交付时指导图书馆工作人员使用复杂些的方式来生成默认密码
最新状态:
暂无