论学校网站安全意识之薄弱

今天想起来,决定吐槽下。

 

进入后台不验证权限,cookie中修改用户名、ID和权限,就可以直接进后台了。

发到CNVD上被评为中危,5月份就收录了,到现在漏洞也还是存在着,没有人去修复。

而本省很多学校使用的都是该工作室的系统。

有的只能修改网站的基础信息,加一个XSS什么的。但是也有部分学校(包括一所可以说是全市排名第一的中学),直接在外网的校务系统存放了学生的学籍数据,以及教师数据。其中涉及到的个人信息是非常多的,重要信息例如身份证、家庭住址、父母电话等。一旦泄漏,一个学校就是几千条,后果不堪设想。

考虑再三,因涉及到太多数据,决定不公开。也希望各学校能有所重视,不要把数据安全当成儿戏,不要报侥幸心理。

6 评论
  1. 拉鸡巴倒吧,学校根本不会去重视,只有在省力教育部网络压力下才会去看看!

  2. 我们学校网站智障到弱口令,进后台传了个shell,后来忘记清IP,结果密码改了,shell也没了

    1. 23333 这就尴尬了。不过后来这个问题是修复了,还去信息办公室喝了杯茶(=・ω・=)

      1. 一次在年段室准备用 nmap 扫下内网,结果老师来了,虽然没被抓再也不敢碰

      2. 还有该是怎样的智障直接在Cookie存用户信息的,还能越权

        1. (-_-#) 而且之前一直没被发现…. 话说能加下好友吗(=・ω・=),QQ 394976586

留言