今天想起来,决定吐槽下。
进入后台不验证权限,cookie中修改用户名、ID和权限,就可以直接进后台了。
发到CNVD上被评为中危,5月份就收录了,到现在漏洞也还是存在着,没有人去修复。
而本省很多学校使用的都是该工作室的系统。
有的只能修改网站的基础信息,加一个XSS什么的。但是也有部分学校(包括一所可以说是全市排名第一的中学),直接在外网的校务系统存放了学生的学籍数据,以及教师数据。其中涉及到的个人信息是非常多的,重要信息例如身份证、家庭住址、父母电话等。一旦泄漏,一个学校就是几千条,后果不堪设想。
考虑再三,因涉及到太多数据,决定不公开。也希望各学校能有所重视,不要把数据安全当成儿戏,不要报侥幸心理。
我们学校直接就是教务系统等网站不向外网开放,只有开学注册那段时间白天开放,晚上也是关闭,其他时间段外网访问得用学校提供的VPN,只有官网是一直对外开放
那挺好哇….就是不太方便(不过教务系统也不常用
我们学校网站智障到弱口令,进后台传了个shell,后来忘记清IP,结果密码改了,shell也没了
23333 这就尴尬了。不过后来这个问题是修复了,还去信息办公室喝了杯茶(=・ω・=)
一次在年段室准备用 nmap 扫下内网,结果老师来了,虽然没被抓再也不敢碰
还有该是怎样的智障直接在Cookie存用户信息的,还能越权
(-_-#) 而且之前一直没被发现…. 话说能加下好友吗(=・ω・=),QQ 394976586
拉鸡巴倒吧,学校根本不会去重视,只有在省力教育部网络压力下才会去看看!