漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-053790
漏洞标题:某信息安全竞赛官网可任意修改别的队伍报名信息
相关厂商:全国大学生信息安全竞赛网官方
漏洞作者: sdc1992
提交时间:2014-03-19 10:28
修复时间:2014-05-03 10:28
公开时间:2014-05-03 10:28
漏洞类型:未授权访问/权限绕过
危害等级:中
自评Rank:5
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-03-19: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-05-03: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
全国大学生信息安全竞赛创建于2008年,该赛事由教育部信息安全教学指导委员会主办、是信息安全学科领域全国最高级别学科竞赛,旨在为培养、选拔、推荐优秀信息安全专业人才创造条件,促进高校信息安全学科课程体系、教学内容和方法改革,提高学生信息安全意识,普及信息安全知识,培养学生科技创新能力与团队合作精神。
详细说明:
登陆后
1、选择编辑自己的队伍信息就可以看到编辑队伍信息的url:
http://www.ciscn.cn/readTeamInfo.action?opt=index&teamid=10904
复制出来,将这里teamid修改后就可以对别的队伍信息进行编辑。
2、选择“邀请指导老师”,同样可以通过修改URL中的teamid来改变别的队伍的指导老师,不论队伍原来的指导老师是否已经接受邀请都可以修改(覆盖掉)。
http://www.ciscn.cn/queryUserInfo.action?opt=selectguid&usertype=1&teamid=10904
这个操作很有可能影响被修改队伍的参赛!
漏洞证明:
编辑其他队伍信息:
给别的队伍邀请指导老师:
被修改后的结果:
修复方案:
修复漏洞不用我说,我要说的是10905、10906队的指导老师,10905队的团队宣言和队伍介绍在我测试的时候被修改了,请老师帮他们恢复一下!不好意思啊……
版权声明:转载请注明来源 sdc1992@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝