当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0144874

漏洞标题:江西师范大学教务处系统某处设计不当导致近大量在校生身份信息完全泄漏

相关厂商:江西师范大学

漏洞作者: 邪恶的孩子

提交时间:2015-10-08 11:49

修复时间:2015-10-13 11:50

公开时间:2015-10-13 11:50

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-08: 细节已通知厂商并且等待厂商处理中
2015-10-13: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

江西师范大学教务处系统某处设计不当导致近四万在校生身份信息泄漏,包括手机号、身份证号、学号班级信息等

详细说明:

废话不多说、地址在这里
http://**.**.**.**/wap/
无语的是居然有默认的账号和密码、

QQ图片20151005114026.png


更无语的是竟然可以登录、、、

QQ图片20151005114142.png


然后点击学生查询、
善用搜索、学号的获取简单、这里我直接到该校贴吧、利用百度的站内搜索、搜索关键字学号
呵呵,手机号、照片、身份证号、这特么揭老底了、

Screenshot_2015-10-05-11-45-06.png


然后burpsuite抓包遍历你懂的、不深入了、

漏洞证明:

废话不多说、地址在这里
http://**.**.**.**/wap/
无语的是居然有默认的账号和密码、

QQ图片20151005114026.png


更无语的是竟然可以登录、、、

QQ图片20151005114142.png


然后点击学生查询、
善用搜索、学号的获取简单、这里我直接到该校贴吧、利用百度的站内搜索、搜索关键字学号
呵呵,手机号、照片、身份证号、这特么揭老底了、

Screenshot_2015-10-05-11-45-06.png


然后burpsuite抓包遍历你懂的、不深入了、

修复方案:

你们懂的、

版权声明:转载请注明来源 邪恶的孩子@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-13 11:50

厂商回复:

最新状态:

暂无