当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-067493

漏洞标题:华南农业大学账户控制不严可致几万学生信息泄露

相关厂商:华南农业大学

漏洞作者: 夏殇

提交时间:2014-07-07 15:27

修复时间:2014-08-21 16:12

公开时间:2014-08-21 16:12

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-07-07: 细节已通知厂商并且等待厂商处理中
2014-07-10: 厂商已经确认,细节仅向厂商公开
2014-07-20: 细节向核心白帽子及相关领域专家公开
2014-07-30: 细节向普通白帽子公开
2014-08-09: 细节向实习白帽子公开
2014-08-21: 细节向公众公开

简要描述:

我不是开玩笑的。
你别老是弄这种设计缺陷的东西出来弄得我心惊胆战的。一次就算了,问题是经常性的这样搞...
是该说学生的安全意识不够还是学校的安全意识不够呢?
无论怎样,我觉得都是时候敲下警钟了。
这次点出两次设计缺陷,点到为止。希望可以引起学校对网络安全的重视。

详细说明:

华南农业大学屡屡设计缺陷可致几万学生信息泄露。
这次的所谓设计缺陷就是说账号的默认密码设计不当。加上学生本身的安全意识不高,很大一部分学生往往不会去修改密码,这样就导致了学生信息面临泄露的风险。
如果默认密码稍微设计得严谨一些,比如采用学生的身份证后几位,学生的出生年月等作为默认密码的话是基本可以杜绝了这种问题的产生的。
这次点出两次设计缺陷,点到为止。希望可以引起相关学校的重视。
1.毕业生生源信息采集处(http://jyzx.scau.edu.cn:81/)
http://jyzx.scau.edu.cn:81/cnews/2014/07/03/160146NxVw.html
看到这个通知便可以知道账号为学生学号,默认密码为学生学号。学生学号组成结构不难得到,百度虽不是万能,但也是很能了。随便贴出两个百度找到的信息,当然还有很多很多...

1.png


2.png


了解了学号构成之后,下面就好办了。登录处没有设置验证码。(呵呵,忘记密码那里还点不了,根本就不是链接,单纯文字来的。无语了)我构造一个小小的学号字典,然后爆破一下。看看有多少学生的密码是没有改的。真的很多啊,这里状态302才是正确的。

3.png


进去一个看一下。各种信息都有。

4.png


2.图书馆(http://202.116.174.108:8080/reader/login.php)
初始密码001,也是没有验证码的。

5.png


再Intruder一下。也发现一大堆没改密码的。

6.png


7.png


漏洞证明:

看详细说明~~

修复方案:

默认密码设计得有水平点啊,亲

版权声明:转载请注明来源 夏殇@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-07-10 14:46

厂商回复:

正在通知相关学校处理

最新状态:

暂无