今天想起来，决定吐槽下。

进入后台不验证权限，cookie中修改用户名、ID和权限，就可以直接进后台了。

发到CNVD上被评为中危，5月份就收录了，到现在漏洞也还是存在着，没有人去修复。

而本省很多学校使用的都是该工作室的系统。

有的只能修改网站的基础信息，加一个XSS什么的。但是也有部分学校（包括一所可以说是全市排名第一的中学），直接在外网的校务系统存放了学生的学籍数据，以及教师数据。其中涉及到的个人信息是非常多的，重要信息例如身份证、家庭住址、父母电话等。一旦泄漏，一个学校就是几千条，后果不堪设想。

考虑再三，因涉及到太多数据，决定不公开。也希望各学校能有所重视，不要把数据安全当成儿戏，不要报侥幸心理。