马上就加载好了...

东华大学教务处系统爆新BUG:可越过权限查看成绩

by on Mar 29 , 2009 , under 其他 , 3,517 views , 12 Comments

东华大学的教务处系统(选课系统)爆出漏洞已经不是什么新鲜事,但今天鄙人发现的漏洞就比较离谱了,可以越过权限查看学生个人成绩,有点侵犯他人隐私的味道,身为被侵害对象中的一员,我希望东华大学教务处在看到此文之后赶紧做出调整

首先本人要声明的是,我没有使用任何的黑客手段,只是偶然发现了漏洞而已;其次,短片《5021》中的教务处系统是仿造的,如与下文内容雷同,纯属巧合

东华大学选课系统截图

今天无聊,所以就上选课系统随便逛逛(也只能怪它没有提供rss,害得我要上它网站),惊奇地发现在侧边栏多了一项叫做“学生个人成绩单”的功能,我就点了进去,但这个URL怎么看怎么像未通过加密直接调用数据库的,而调用的key便是学生的学号,换句话说,只要知道学生的学号,就能知道该学生整个大学期间的所有成绩

“学生个人成绩单”URL

(为了避免某些人利用此手段非法侵犯他人隐私,部分URL我隐藏或遮掉了)

之后的测试证实了我的猜想,dhu的选课系统确实爆出了新的漏洞。

越权查看成绩页面截图

之前该系统就曾爆出无数的漏洞,比如可越权通过班级序号查看整个班级的成绩(至今未修复),而这次爆出的漏洞更为离谱:不但可以越权通过学号查看他人成绩,同时还可以获取该学生姓名、专业、班级、学院等,不但如此,还可以通过排列组合获取同班、同专业其他同学的个人成绩和信息,我所担心的是,这些东西极有可能被别有用心的人利用

本文旨在揭发dhu选课系统的漏洞,督促dhu教务处尽快改进系统。如本文与你的利益有冲突,请及时与本人联系

 

水楼已经盖了 12 层了!

  1. 康熙大帝

    我很猥琐的尝试了一下~漏洞成立~哈哈~

  2. 冬瓜

    @康熙大帝, 哈哈 别做坏事噢!

  3. bolidouya

    @冬瓜,
    我试过..不行的么…而且我自己的个人成绩打开都是没成绩的..难道说05级和06.07都不一样..

  4. 冬瓜

    @bolidouya, 应该可以的吧。。。

  5. sunshineg

    学校也太不注意了,

    不过改这个应该也很简单~把ID(学号)随机加密下就OK了

  6. 冬瓜

    @sunshineg, 学校就是懒,而且我估计这个东西是外包的,学校本身没有开发人员

  7. Anonymous

    ~~你是不是毕业了要去当记者?

  8. Emily

    哇呀呀

  9. minlawoo

    这年头大学真多,出点问题难免……
    东华大学?
    孤陋寡闻的我第一次听说。

  10. Anonymous

    现在系统已经修改过来了,没有上述问题了!

  11. Anonymous

    所以现在教务处进不去了

  12. al

    我试了一下,现在改过来了……

    你是人文的啊……而且可以推出你是07界的……= =|||

赶快说点什么吧! ^_^