漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-017474
漏洞标题:正方高校现代管理系统任意修改成绩查看照片漏洞
相关厂商:杭州正方软件股份有限公司
漏洞作者: 00shenxian00
提交时间:2013-01-18 10:40
修复时间:2013-03-04 10:40
公开时间:2013-03-04 10:40
漏洞类型:成功的入侵事件
危害等级:高
自评Rank:20
漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-01-18: 细节已通知厂商并且等待厂商处理中
2013-01-22: 厂商已经确认,细节仅向厂商公开
2013-02-01: 细节向核心白帽子及相关领域专家公开
2013-02-11: 细节向普通白帽子公开
2013-02-21: 细节向实习白帽子公开
2013-03-04: 细节向公众公开
简要描述:
还是传说中1000所高校用的正方高校现代管理系统
详细说明:
一般院校都有一个可以查到学号工号的地方,例如:
信息门户-好友系统
有的学校没有这个信息门户,或者信息门户只对教师开放,那么还有一个在线教学平台可以查到哦~
具体位置自己找吧。
先输入你老师的名字,找到其工号……
然后到高校现代管理系统(这里可能会有两个地址,一个是评教系统,没什么用,另一个可以选择登陆身份的就是我们要进的系统了)
当然是弱密码~经测试80%的高校都没让老师们修改弱密码!大学老师啊!!
输入工号(密码相同)。
先说查看照片。
信息查询----学生信息里面有个查询照片的地方,不过经测试不好用,可能有的学校会好用吧,不过我们还有其他的方法。
切换到“部门”模式。(前提是用校领导的工号登陆)
教师授课学生名单查询---学生照片---输出打印。
审查元素--把xh=xxxxxxxxx改成你要查看的学生的学号(学号还是可以从好友系统里查到)
锵锵锵锵~看到妹子照片了吧~
这只是小菜,然后我要说的是修改成绩。
考前修改就不说了……别干这傻事。
考后,教师录入完成绩之后,提交按钮会变成不可用。
还是审查元素,去掉disable就可以了,先保存,后提交。
漏洞证明:
看成绩,你能看出哪里不对么,哈哈!
修复方案:
换系统……用正方,穿裤裆。
版权声明:转载请注明来源 00shenxian00@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:6
确认时间:2013-01-22 10:13
厂商回复:
CNVD根据图片确认漏洞,将直接协调正方公司进行处置。
rank=6
最新状态:
暂无