当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0111641

漏洞标题:安徽省某资助系统存在安全问题致学生档案泄露并可审定(09~14年份)

相关厂商:安徽省某资助管理系统

漏洞作者: 刘洪泽

提交时间:2015-05-22 15:28

修复时间:2015-07-10 13:16

公开时间:2015-07-10 13:16

漏洞类型:后台弱口令

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-05-22: 细节已通知厂商并且等待厂商处理中
2015-05-26: 厂商已经确认,细节仅向厂商公开
2015-06-05: 细节向核心白帽子及相关领域专家公开
2015-06-15: 细节向普通白帽子公开
2015-06-25: 细节向实习白帽子公开
2015-07-10: 细节向公众公开

简要描述:

照片身份证号,姓名,出生年月,民族: 政治面貌,入学年月,学制,院系名称,专业,学号班级 申请等级:贫困类型号,联系电话 学生银行名 学生户名 学生帐号 照片 家庭经济情况 家庭户口 家庭人口总数 家庭月收入人均月收入收入来源家庭邮政编码:家庭成员信息 申请理由与院系评审意见

详细说明:

一个学院就那么多,那么来个乘法。仅用一个账号作为测试。
学生信息很重要。

漏洞证明:

http://wenku.baidu.com/view/fdad3dc458f5f61fb736664e.html


登录网址:http://220.178.0.180

QQ图片20150502112342.png


商学院 340002025-s1 信息学院 340002025-x1 土工学院  340002025-t1 340002025-s2 340002025-x2 340002025-t2  340002025-s3 340002025-x3 340002025-t3 340002025-s4 340002025-x4 340002025-t4 电子学院 340002025-d1 外语学院 340002025-w1 动漫学院  340002025-m1 340002025-d2 340002025-w2 340002025-m2  340002025-d3 340002025-w3 340002025-m3 340002025-d4 340002025-w4 340002025-m4 药学院 340002025-y1 文传学院  340002025-r1 国际学院  340002025-g1  340002025-y2 340002025-r2 340002025-g2  340002025-y3 340002025-r3   340002025-y4 340002025-r4


密码弱口令123
OX1仅以一个商学院证明
这里可以查询这些年的,以及导出各种信息

QQ图片20150502113007.png


申请国家奖学金

QQ图片20150502113216.png


详细信息

QQ图片20150502113300.jpg


量很多

QQ图片20150502113345.png


励志金

QQ图片20150502113527.png


助学金

QQ图片20150502113806.png


如此详细

QQ图片20150502113841.png


QQ图片20150502113941.png


还有撤销,汗
家长

QQ图片20150502114031.png


管理

QQ图片20150502114150.jpg


具体功能可参看

QQ图片20150502114342.png

修复方案:

#禁止上传敏感信息

版权声明:转载请注明来源 刘洪泽@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:13

确认时间:2015-05-26 13:15

厂商回复:

CNVD确认并复现所述漏洞情况,已经转由CNCERT下发给安徽分中心,由安徽分中心后续协调网站管理单位处置。

最新状态:

暂无