苏州高新人才网,档案查询出现问题。在该网站可以查询不同地区的档案。查询条件是 姓名+生日。但是通过连接后台的sql查询的url,并修改url中的查询字段时,只要查询姓名他就会出现改姓名的信息,输入生日(姓名不填),他就会出现所有相同生日的人的信息。而且他的后台有好多不同地区的个人档案,都是通过url查询,好多地区的查询都有问题。
首先到网站的主页:http://www.sndhr.com/SNDHRWeb/YZSFW/WebPage/Aspx/Index.aspx
然后点击档案查询,姓名和生日可以任意填写(比如姓名填写一个‘王’字),点击查询
这个地区的包含这个字的姓名都会出现,而且带有个人信息。
打开查询之后的网站的源代码:
可以看到,有好多的不同网站都是通过url进行对数据库进行查询的。只要简单的对url中查询字段进行修改就可以简单的查到想要的信息。
进入:http://www.sndhr.com/FilesChaining/Default.aspx?CName=&Birthday=1988-08-08
把CName=字段置空,只设置生日,确定,就会出现所有该生日的人的信息
同样,只输入正确的人名,不输入生日同样可以查到想要的信息。
以上只是 苏州市高新区人力资源开发管理中心 的数据库库。还有好多的数据库都有问题。
比如:常熟市人力资源管理服务中心 ,只要查姓名中的一个字,他就会出现所有包含这个字的人名。
这个是网站框架的源代码,全部都能看见。
感觉个人信息放在上面太不安全了,只要动点心思,就是想看就看的。希望他们真心能够好好改一改,个人信息的泄密,很危险。
我并非针对这个网站,而是我的档案在这里,但是查不到,我才想了这个办法,直接输入名字,不用生日,就可以查询个人信息了,才知道我的生日被弄错了。。。
如果不改的话,这个漏洞就别发了,感觉不安全。