东华大学教务处系统爆新BUG:可越过权限查看成绩
by 冬瓜 on Mar 29 , 2009 , under 其他 , 3,517 views , 12 Comments
东华大学的教务处系统(选课系统)爆出漏洞已经不是什么新鲜事,但今天鄙人发现的漏洞就比较离谱了,可以越过权限查看学生个人成绩,有点侵犯他人隐私的味道,身为被侵害对象中的一员,我希望东华大学教务处在看到此文之后赶紧做出调整。
首先本人要声明的是,我没有使用任何的黑客手段,只是偶然发现了漏洞而已;其次,短片《5021》中的教务处系统是仿造的,如与下文内容雷同,纯属巧合。
今天无聊,所以就上选课系统随便逛逛(也只能怪它没有提供rss,害得我要上它网站),惊奇地发现在侧边栏多了一项叫做“学生个人成绩单”的功能,我就点了进去,但这个URL怎么看怎么像未通过加密直接调用数据库的,而调用的key便是学生的学号,换句话说,只要知道学生的学号,就能知道该学生整个大学期间的所有成绩。
(为了避免某些人利用此手段非法侵犯他人隐私,部分URL我隐藏或遮掉了)
之后的测试证实了我的猜想,dhu的选课系统确实爆出了新的漏洞。
之前该系统就曾爆出无数的漏洞,比如可越权通过班级序号查看整个班级的成绩(至今未修复),而这次爆出的漏洞更为离谱:不但可以越权通过学号查看他人成绩,同时还可以获取该学生姓名、专业、班级、学院等,不但如此,还可以通过排列组合获取同班、同专业其他同学的个人成绩和信息,我所担心的是,这些东西极有可能被别有用心的人利用。
本文旨在揭发dhu选课系统的漏洞,督促dhu教务处尽快改进系统。如本文与你的利益有冲突,请及时与本人联系。
March 29th, 2009 on 16:03
我很猥琐的尝试了一下~漏洞成立~哈哈~
March 29th, 2009 on 16:22
@康熙大帝, 哈哈 别做坏事噢!
March 29th, 2009 on 18:54
@冬瓜,
我试过..不行的么…而且我自己的个人成绩打开都是没成绩的..难道说05级和06.07都不一样..
March 29th, 2009 on 22:35
@bolidouya, 应该可以的吧。。。
March 29th, 2009 on 16:45
学校也太不注意了,
不过改这个应该也很简单~把ID(学号)随机加密下就OK了
March 29th, 2009 on 16:55
@sunshineg, 学校就是懒,而且我估计这个东西是外包的,学校本身没有开发人员
March 29th, 2009 on 16:51
~~你是不是毕业了要去当记者?
March 29th, 2009 on 17:53
哇呀呀
April 5th, 2009 on 15:26
这年头大学真多,出点问题难免……
东华大学?
孤陋寡闻的我第一次听说。
June 29th, 2009 on 03:37
现在系统已经修改过来了,没有上述问题了!
July 6th, 2009 on 17:20
所以现在教务处进不去了
April 13th, 2010 on 11:24
我试了一下,现在改过来了……
你是人文的啊……而且可以推出你是07界的……= =|||