论学校网站安全意识之薄弱

今天想起来,决定吐槽下。

 

进入后台不验证权限,cookie中修改用户名、ID和权限,就可以直接进后台了。

发到CNVD上被评为中危,5月份就收录了,到现在漏洞也还是存在着,没有人去修复。

而本省很多学校使用的都是该工作室的系统。

有的只能修改网站的基础信息,加一个XSS什么的。但是也有部分学校(包括一所可以说是全市排名第一的中学),直接在外网的校务系统存放了学生的学籍数据,以及教师数据。其中涉及到的个人信息是非常多的,重要信息例如身份证、家庭住址、父母电话等。一旦泄漏,一个学校就是几千条,后果不堪设想。

考虑再三,因涉及到太多数据,决定不公开。也希望各学校能有所重视,不要把数据安全当成儿戏,不要报侥幸心理。

评论

  1. 4年前
    2020-4-01 16:29:22

    我们学校直接就是教务系统等网站不向外网开放,只有开学注册那段时间白天开放,晚上也是关闭,其他时间段外网访问得用学校提供的VPN,只有官网是一直对外开放

    • fly
      博主
      zeruns
      4年前
      2020-4-01 18:01:13

      那挺好哇….就是不太方便(不过教务系统也不常用

  2. 8年前
    2016-9-18 13:45:03

    我们学校网站智障到弱口令,进后台传了个shell,后来忘记清IP,结果密码改了,shell也没了

    • 博主
      Ylune
      8年前
      2016-9-18 20:56:49

      23333 这就尴尬了。不过后来这个问题是修复了,还去信息办公室喝了杯茶(=・ω・=)

      • Fly
        8年前
        2016-9-19 13:34:38

        一次在年段室准备用 nmap 扫下内网,结果老师来了,虽然没被抓再也不敢碰

      • Fly
        8年前
        2016-9-19 13:36:13

        还有该是怎样的智障直接在Cookie存用户信息的,还能越权

        • 博主
          Ylune
          8年前
          2016-9-19 18:14:27

          (-_-#) 而且之前一直没被发现…. 话说能加下好友吗(=・ω・=),QQ 394976586

  3. 8年前
    2015-11-05 9:22:35

    拉鸡巴倒吧,学校根本不会去重视,只有在省力教育部网络压力下才会去看看!

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇