当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-051928

漏洞标题:某高校教学系统可通过TA(助教级别)帐号即可获取并修改全校学生分数

相关厂商:华南理工大学

漏洞作者: zhangjie

提交时间:2014-03-18 15:55

修复时间:2014-05-02 15:56

公开时间:2014-05-02 15:56

漏洞类型:用户资料大量泄漏

危害等级:低

自评Rank:3

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-18: 细节已通知厂商并且等待厂商处理中
2014-03-25: 厂商已经确认,细节仅向厂商公开
2014-04-04: 细节向核心白帽子及相关领域专家公开
2014-04-14: 细节向普通白帽子公开
2014-04-24: 细节向实习白帽子公开
2014-05-02: 细节向公众公开

简要描述:

某985高校教学系统可通过 TA 帐号获取全校师生信息,并可修改学生平时成绩。

详细说明:

该网站是华南理工大学用来记录平时教学情况,教学成绩等信息的网站,教学在线分为学生,TA,老师(以及管理员),登录教学在线之后权限没有完全控制,以 TA 帐号登录之后权限没有做好管理,可以查看全校人的信息,包括老师,并且可以修改成绩。

漏洞证明:

教学在线分为学生,TA,老师(以及管理员),以 TA 帐号登录之后进入作业管理页面如图:

Screen Shot 2014-02-24 at 23.12.28.png


其中作业管理页面是一个 iframe,如图:

Screen Shot 2014-02-24 at 23.14.43.png


在批阅的连接上右键选择在新标签页中打开iframe 的页面,可以看到 URL 及批阅页面,

Screen Shot 2014-02-24 at 23.20.55.png


在 URL 的参数上稍作修改即可看到其他课程的批阅信息,并且可以点击批阅进行修改成绩,如图:

Screen Shot 2014-02-24 at 23.23.56.png


批卷入都是 TA 的帐号,可以通过弱口令攻击进行登录其他 TA 的帐号,再利用其他 TA 帐号去修改成绩。
用户名即为学生学号,可点击查看学生详细信息:如图

Screen Shot 2014-02-24 at 23.26.06.png


查看所有人成绩截图:管理员:

Screen Shot 2014-02-24 at 23.30.23.png


老师:

Screen Shot 2014-02-24 at 23.31.44.png

学生:

Screen Shot 2014-02-24 at 23.32.17.png


写个脚本可以批量获取。

修复方案:

版权声明:转载请注明来源 zhangjie@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-03-25 23:15

厂商回复:

CNVD确认并复现所述情况,已经转由CNCERT通报给教育网应急组织(CCERT所属赛尔网络公司)。

最新状态:

暂无