漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-051928
漏洞标题:某高校教学系统可通过TA(助教级别)帐号即可获取并修改全校学生分数
相关厂商:华南理工大学
漏洞作者: zhangjie
提交时间:2014-03-18 15:55
修复时间:2014-05-02 15:56
公开时间:2014-05-02 15:56
漏洞类型:用户资料大量泄漏
危害等级:低
自评Rank:3
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-18: 细节已通知厂商并且等待厂商处理中
2014-03-25: 厂商已经确认,细节仅向厂商公开
2014-04-04: 细节向核心白帽子及相关领域专家公开
2014-04-14: 细节向普通白帽子公开
2014-04-24: 细节向实习白帽子公开
2014-05-02: 细节向公众公开
简要描述:
某985高校教学系统可通过 TA 帐号获取全校师生信息,并可修改学生平时成绩。
详细说明:
该网站是华南理工大学用来记录平时教学情况,教学成绩等信息的网站,教学在线分为学生,TA,老师(以及管理员),登录教学在线之后权限没有完全控制,以 TA 帐号登录之后权限没有做好管理,可以查看全校人的信息,包括老师,并且可以修改成绩。
漏洞证明:
教学在线分为学生,TA,老师(以及管理员),以 TA 帐号登录之后进入作业管理页面如图:
,
其中作业管理页面是一个 iframe,如图:
在批阅的连接上右键选择在新标签页中打开iframe 的页面,可以看到 URL 及批阅页面,
在 URL 的参数上稍作修改即可看到其他课程的批阅信息,并且可以点击批阅进行修改成绩,如图:
批卷入都是 TA 的帐号,可以通过弱口令攻击进行登录其他 TA 的帐号,再利用其他 TA 帐号去修改成绩。
用户名即为学生学号,可点击查看学生详细信息:如图
查看所有人成绩截图:管理员:
老师:
学生:
写个脚本可以批量获取。
修复方案:
版权声明:转载请注明来源 zhangjie@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:11
确认时间:2014-03-25 23:15
厂商回复:
CNVD确认并复现所述情况,已经转由CNCERT通报给教育网应急组织(CCERT所属赛尔网络公司)。
最新状态:
暂无