当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-076074

漏洞标题:南京农业大学等多所高校教务系统学生信息泄漏

相关厂商:CCERT教育网应急响应组

漏洞作者: 山东人常常走刀口

提交时间:2014-09-15 13:59

修复时间:2014-12-14 14:00

公开时间:2014-12-14 14:00

漏洞类型:非授权访问/权限绕过

危害等级:高

自评Rank:10

漏洞状态:已交由第三方合作机构(CCERT教育网应急响应组)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-09-15: 细节已通知厂商并且等待厂商处理中
2014-09-17: 厂商已经确认,细节仅向厂商公开
2014-09-20: 细节向第三方安全合作伙伴开放
2014-11-11: 细节向核心白帽子及相关领域专家公开
2014-11-21: 细节向普通白帽子公开
2014-12-01: 细节向实习白帽子公开
2014-12-14: 细节向公众公开

简要描述:

南京农业大学、山西农业大学、河北工程大学、青岛理工大学等众多大学教务系统存在非授权访问,可遍历学生信息、系统目录遍历等。

详细说明:

南京农业大学教务系统存在学生信息泄漏、目录遍历等漏洞。
http://jw1.njau.edu.cn/reportFiles/cj/cj_zwcjd.jsp

南京农业大学-0.jpg


输入学生学号:1221010*

南京农业大学-1.jpg


目录遍历

南京农业大学-目录遍历.jpg


河北工程大学 http://219.148.85.172:9080/reportFiles/cj/cj_zwcjd.jsp 学号:14092022*

河北工程大学.jpg


山西农业大学
http://jwxt.sxau.edu.cn/reportFiles/cj/cj_zwcjd.jsp 学号:2014171321*

山西农业大学.jpg


青岛理工大学
http://180.201.80.1/reportFiles/cj/cj_zwcjd.jsp

青岛理工大学.jpg

漏洞证明:

学号之类的虽然每个学校命名规则不一,但社交网站太流行,很容易得到每个学校学生的学号,哪怕只知道其中一个人,根据一些固定的命名规则,也会推断出其他学号。

修复方案:

学生学号、身份证号、家庭信息等较敏感信息的泄漏对学生来说可以是致命的。比如:很多学校的学生账号设置都是用户名为学号,密码与身份证号码有关,密码找回很多也是跟身份证信息有关。在此就不一一测试了,希望有关学校升级系统或打补丁之类的。

版权声明:转载请注明来源 山东人常常走刀口@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:6

确认时间:2014-09-17 15:47

厂商回复:

通知用户处理中

最新状态:

暂无