当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076301

漏洞标题:北航新版邮箱泄露大量学生身份信息

相关厂商:北京航空航天大学

漏洞作者: 欧阳天佐

提交时间:2014-09-17 09:57

修复时间:2014-11-01 09:58

公开时间:2014-11-01 09:58

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-09-17: 细节已通知厂商并且等待厂商处理中
2014-09-17: 厂商已经确认,细节仅向厂商公开
2014-09-27: 细节向核心白帽子及相关领域专家公开
2014-10-07: 细节向普通白帽子公开
2014-10-17: 细节向实习白帽子公开
2014-11-01: 细节向公众公开

简要描述:

泄露了大量的学生身份证号,包括已经毕业的年轻老校友身份证号,比如我的!!!教工的应该也会泄漏,但是由于我手里没有教工的工号,所以无法验证

详细说明:

北航近日上线了新的邮箱系统,作为北航一名非常年轻的老校友,我对这个邮箱系统感到非常的痛心,因为这个系统泄漏了大量的真实的身份证号。
这个系统在注册时会验证学生和教工的身份证号,这个过程是这样进行的:
首先发送网页会发送学号(教工是工号)到服务器端,而服务器那边会返回对应的姓名、身份证号、学生类型、再由本地进行验证。唉,多笨啊,居然放到本地验证。作为北航计算机学院一名非常优秀的男孩儿,我认为这种东西只应该放在服务端进行。

漏洞证明:

首先我们打开谷歌浏览器
进入北航的新邮箱系统
https://mail.buaa.edu.cn/
点击注册
以同样非常优秀的男孩儿何叉泽同学为例,他目前还在北航深造,准备为祖国的航天事业贡献自己的力量,他的学号是39151320

欧阳天佐真优秀


身份证号那里随便填,只要格式对,这里我填了我自己的,作为一名非常优秀的保密工作者,我对这个身份证进行了非密化处理。
我们按一下F12,然后点击下一步

欧阳天佐真优秀


我们抓到了两个包
作为北航培养出的优秀的计算机专业学生,我一眼就看出了这两个包是做什么的,第一个是selectInfo用的,第二个是checkInfo用的,翻译成汉语就是“检测用户名是否被占用,如果占了返回true,没占返回false”的意思。
我们点开第一个包,看到form data里有两个参数

欧阳天佐真优秀


作为一个英语专业的优秀毕业生,我一眼就看出了id指的是学号,utype指的是用户类型,2是学生,1是教工,3是校友,从这个排序中我们可以看出北航对这三种人的态度,希望北航以后能把学生放在最前。
之前是我们提交的数据,现在我们点一下response

欧阳天佐真优秀


这是返回的数据,我们在第21行可以看到一些东西,是何叉泽同学的个人信息,第一个是何叉泽的真实姓名,第二个是何叉泽的身份证号,第三个是他的用户类型,因为我用的是他本科时的学号,所以系统认为他是校友。不明白系统为什么要返回这么多空行,你以为多返回几个空行我就看不到后边的信息了么?我可以用滚动条啊!
至此,我们已经获得了何叉泽同学的身份证号,而只用了他的真实学号,如果用工号的话同样也可以获得教工的信息,此外,我突然想到,既然验证放在了本地,那我还可以绕过验证注册大量的邮箱,占用大量的学号,当然了,作为一名优秀的法学院毕业生,我没有这么做。
最后,我又仔细看了一下《北航邮件系统注册服务条款》

欧阳天佐真优秀


欧阳天佐真优秀


圈出了一些问题,希望能尽快改正,还有像我们这些年轻的资深优秀老校友,很难保证经常登录北航邮箱,希望北航能让我们180天的期限取消,给我们在北航留一个永久的家~

修复方案:

放在服务器那边验证

版权声明:转载请注明来源 欧阳天佐@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-09-17 10:35

厂商回复:

通知用户处理中

最新状态:

暂无