论学校网站安全意识之薄弱

发布于 2015-08-25  7 次阅读


今天想起来,决定吐槽下。

 

进入后台不验证权限,cookie中修改用户名、ID和权限,就可以直接进后台了。

发到CNVD上被评为中危,5月份就收录了,到现在漏洞也还是存在着,没有人去修复。

而本省很多学校使用的都是该工作室的系统。

有的只能修改网站的基础信息,加一个XSS什么的。但是也有部分学校(包括一所可以说是全市排名第一的中学),直接在外网的校务系统存放了学生的学籍数据,以及教师数据。其中涉及到的个人信息是非常多的,重要信息例如身份证、家庭住址、父母电话等。一旦泄漏,一个学校就是几千条,后果不堪设想。

考虑再三,因涉及到太多数据,决定不公开。也希望各学校能有所重视,不要把数据安全当成儿戏,不要报侥幸心理。

Comments