WooYun.org

最近丈母娘的学校发了个条子，让老师参加上面的竞赛答题。
学校提供了一个帐号，一个9位数ID，一个初始密码123456。
用手机登录答题，由于输错了一个数字，成功登录了别人的账号，由于许多账号是9位数字，初始密码都是123456，所以猜测账号可以遍历登录。
深圳习习网络科技有限公司（简称“习习网络”）成立于2008年6月，是专注于中小学领域的互联网综合服务提供商。
公司旗下拥有覆盖教育信息化应用、内容建设和移动互动全领域的“习网”、“ 6v68”、“习信”三大门户网和为普及型知识竞赛活动提供解决方案的“竞赛测评云平台”。公司具有雄厚的研发实力，网络平台产品丰富，功能强大，行业独特性显著，经营理念在行业中处于领先地位。
截至2015年6月1日，公司已获得40多项知识产权。旗下习网实名注册用户已超过2.0亿，“一站式互动教学云平台”覆盖全国6.3万所学校，习信下载量突破1600万。站群日活跃用户超过180万，成为全国最大的互联网教育平台。
结合账号位数，官网信息和实际测试，可知，真实用户数量大概千万级，关键是老师，学生，学校实名，泄漏了大量真实信息。
搜索了一下，发现了习网之前的一些问题，许多是关于SQL注入和XSS的，裤子可能被拖了不少，例如：
WooYun: 习网多个站点SQL注入漏洞
习网某处存储型xss漏洞，成功进入后台
WooYun: 习网某处存储型xss漏洞，成功进入后台
看我如何优雅的登陆全校习网账号
WooYun: 看我如何优雅的登陆全校习网账号
这次发现app暴露的一些问题，具体如下：
登录后，发现app显示如下信息，可以看到真实的姓名，学校和身份信息。
用学生账号，徐灿灿，登录，可以看到群用户信息，可以查到爸爸，妈妈，老师等账号信息
爸爸妈妈的账号信息，估计是学校根据学生姓名，顺带一起登记的，许多账号显示的是不在线的状态

有班级群和学生群，如果从app进入班级群，班级群里可以看到老师，学生和家长账号，包括姓名，身份，登录状态，标注详细，也是醉了，用户账号都不用遍历了，直接真实姓名信息泄露，有些账号还上传了用户照片头像等。

一些群里学生还在讨论学习问题。