漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-083530
漏洞标题:某省高等学校学生资助系统两百多万学生信息可被遍历获取
相关厂商:cncert国家互联网应急中心
漏洞作者: Sharer
提交时间:2014-11-17 10:45
修复时间:2015-01-01 10:46
公开时间:2015-01-01 10:46
漏洞类型:网络未授权访问
危害等级:中
自评Rank:10
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-11-17: 细节已通知厂商并且等待厂商处理中
2014-11-21: 厂商已经确认,细节仅向厂商公开
2014-12-01: 细节向核心白帽子及相关领域专家公开
2014-12-11: 细节向普通白帽子公开
2014-12-21: 细节向实习白帽子公开
2015-01-01: 细节向公众公开
简要描述:
可获得如下信息
姓名: 学号:
性别: 身份证号码:
出生日期: 民族:
政治面貌: 入学时间:
学校: 学院:
专业: 班级:
生源所在地:
就读所在地: 户籍类型:
移动电话: 固定电话:
家庭信息
关系 工作单位 姓名 电话
近亲属
家庭经济情况
家庭人均年收入
家庭主要收入来源
遭受自然灾害
遭受突发以外事件
家庭成员失业
家庭欠债情况
特殊情况
目前涉及全省2420997名学生,而且数字还在不断上升中...
详细说明:
http://jxj.yn012.cn/student/login.jsp
页面下方有这样一句话...提示:登陆系统的默认密码为:123456
全省学生辣么多...肯定有懒得改密码的...而且经测试发现几乎没人改...
于是找个学校,百度下学号格式,这里以云南中医学院为例...
学号:201101010101 密码:123456
登录成功...在校级公示查询处查询申请表,不填任何筛选信息...
随便打开一个查看详情...
好详细...这个页面的url是http://jxj.yn012.cn/student/appViewPublic.jsp?applyId=2398664&applyTypeId=1&publicType=school
换一个applyId试试...
http://jxj.yn012.cn/student/appViewPublic.jsp?applyId=2111111&applyTypeId=1&publicType=school
出来了!而且已经是其他学校的学生了...
截至俺提交时经区间测试发现applyId在0000001到2420997之间的学生信息都可访问...涉及全省2420997名学生,而且数字还在不断上升中...
漏洞证明:
http://jxj.yn012.cn/student/login.jsp
页面下方有这样一句话...提示:登陆系统的默认密码为:123456
全省学生辣么多...肯定有懒得改密码的...而且经测试发现几乎没人改...
于是找个学校,百度下学号格式,这里以云南中医学院为例...
学号:201101010101 密码:123456
登录成功...在校级公示查询处查询申请表,不填任何筛选信息...
随便打开一个查看详情...
好详细...这个页面的url是http://jxj.yn012.cn/student/appViewPublic.jsp?applyId=2398664&applyTypeId=1&publicType=school
换一个applyId试试...
http://jxj.yn012.cn/student/appViewPublic.jsp?applyId=2111111&applyTypeId=1&publicType=school
出来了!而且已经是其他学校的学生了...
截至俺提交时经区间测试发现applyId在0000001到2420997之间的学生信息都可访问...涉及全省2420997名学生,而且数字还在不断上升中...
修复方案:
P.S.:
这里都是些穷苦人家的孩子...通常最容易被骗子骗到的也都是这些人...越穷的孩子被骗后越困难...之前听说重庆大学有一个家里不宽裕的学生被骗一万多块后跳湖自杀,很久之后遗体才被发现...想想真的很不是滋味...如果这里的信息也被黑产利用的话...相信也会发生类似的悲剧...希望你们不要给忽视了...
版权声明:转载请注明来源 Sharer@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:18
确认时间:2014-11-21 13:43
厂商回复:
最新状态:
暂无