某省职业注册中心/考试网站越权、注入泄漏大量考生身份信息（疑似被考试黑产介入）

问题网站：

陕西省职业注册中心 http://**.**.**.**/

越权漏洞：

以2014年的陕西省二级建造师为例子。下面的是查询成绩的登录页面：

1.://**.**.**/cjcx2/search.aspxexamsort=85&examdate=201405
 

这里提供一个登录帐号，当然这个帐号肯定不是我的（希望官方验证后给姓名和身份证号码打下马赛克）：

姓 名： 周腾飞

身份证号： 61020219880612201x

登录状态下可以通过修改zj参数，越权获取别人的敏感信息（具体影响多少你们自己评估下吧，而且这里我只是以陕西省的二级建造师为例子而已，其他考试肯定也存在类似问题）。

**.**.**.**:8881/cjcx2/result.aspx?zj=8514611111

**.**.**.**:8881/cjcx2/result.aspx?zj=8514619999

然后随便测试下，还存在注入，唉，无语啊！

大概测试了下，发现网站有安全狗。这里目测网站对注入、越权、跨站、上传等这些漏洞都没有设防，只是去给整站挂了个安全狗。

这种策略到底有多安全呢？乌云上面已经给出太多实例了。。。

用户的信息到底谁来保护？

分析：

这后面肯定是一条很大的黑色利益链。

就从我报名后这半年时间来看，收到了不下50个电话和100条以上的短信，而且电话和短信的内容都是可以直接叫出你的名字的，还有知道你要考建造师这个事情。

大概流程是这样子的：

1 报名后，首先离考试3个月的时候，会收到的是XX机构的培训推销。

2 然后距离考试1个月的时候，就会收到保过答案。

3 然后考试后至成绩出来前这段时间，就会收到“你考试没过，我们可以给你改分数”。

4 然后再往后就是，“你需要一建考试，我们有培训”之类的下一轮推销诈骗。

这里我不知道具体考试拿证的流程是怎样的，但是可以肯定的是，拿下网站权限之后，后台修改分数这个肯定是可以实现的。至于后台服务器上有么有考试答案，这个也说不定，至少我认为还是有可能的。

当然，这些电话中肯定是有一部分是可以操作考试网站的数据的，有些肯定是不能操作的（纯粹是诈骗行为）。

而这个信息泄漏原因，也有很多种情况，比如越权获取的，或者XSS盲打进入后台得到的，或者上传（报名的时候上传照片这种目测是存在上产漏洞的）或者注入然后获取shell后得到的，当然还有可能是官方为了利益进行某些交易而泄露出去的。总之，结果就是在这里考试报名了后，信息就泄漏了，就收到了各种推销诈骗的电话、短信，这点是不能忍的。

当然，这里我所反映的漏洞只是九牛一毛，反映的这种受影响的站点更是千牛一毛了，至于今后的大家的信息安全问题，还需要有关部门给力些啊！

建议政府、事业单位、还有考试信息这种网站，还是聘请专业的人员去做网站吧，别把网站直接交给那种不专业的第三方公司。

厂商回应：

危害等级：高

漏洞Rank：12

确认时间：2014-09-06 09:03

厂商回复：

最新状态：

暂无

1. 2014-09-01 12:40 | 小胖子 ( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失，我羡慕你，但是我还是选择做...)

   1

   你二建考过没嘛

   1# 回复此人

2. 2014-09-01 12:56 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

   0

   @小胖子 分数线没出来，咋了。。

   2# 回复此人

3. 2014-09-01 13:16 | 小川 ( 核心白帽子 | Rank:1627 漏洞数:241 | 一个致力要将乌云变成搞笑论坛的男人)

   0

   越权改个分数噻

   3# 回复此人

4. 2014-09-01 13:31 | xsser ( 普通白帽子 | Rank:297 漏洞数:22 | 当我又回首一切,这个世界会好吗?)

   0

   @小川 改成核心白帽子啊

   4# 回复此人

5. 2014-09-01 13:33 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

   0

   @小川 目测干掉网站是可以改分数的，我没去试，免得当炮灰

   5# 回复此人

6. 2014-09-01 13:38 | reality0ne ( 路人 | Rank:18 漏洞数:7 )

   0

   官网：幸好有漏洞，不然卖出去的身份信息还真是怕被人怀疑呢~

   6# 回复此人

7. 2014-09-01 13:41 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

   0

   @reality0ne 。。。你不怕被跨省么

   7# 回复此人

8. 2014-09-01 13:57 | reality0ne ( 路人 | Rank:18 漏洞数:7 )

   0

   @px1624 。。我同学前脚驾驶证刚拿到后脚就收到短信让他该买车险了

   8# 回复此人

9. 2014-09-01 13:58 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

   0

   @reality0ne 所以我这个也就是九牛一毛。。。抛砖引玉下，类似的例子太多了，包括买房，考试，驾照，订机票、酒店啥的，太多了

   9# 回复此人

10. 2014-09-01 19:54 | Black Angel ( 普通白帽子 | Rank:165 漏洞数:36 | 最神奇的一群人，智慧低调又内敛，俗称马甲...)

    0

    我看你发了一个说说,然后就发乌云了..

    10# 回复此人

11. 2014-09-01 20:34 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    0

    @Black Angel 嗯。。。低调

    11# 回复此人

12. 2014-09-26 13:00 | 小胖子 ( 核心白帽子 | Rank:1888 漏洞数:156 | 不要患得患失，我羡慕你，但是我还是选择做...)

    0

    @px1624 改鸡毛的分数，这个是从库，主库备份出来拿给你们做成绩查询的，主库在内网的注册系统才用。

    12# 回复此人

13. 2014-09-26 13:19 | px1624 ( 普通白帽子 | Rank:1171 漏洞数:207 | px1624)

    0

    @小胖子 。。。我说该成绩是在报名上传的时候，哪里是可以直接shell的。。。乌云某白帽子已经通过x省的x造假管理中心证明这点了。我发这个肯定改不了啊

    13# 回复此人

14. 2014-10-16 15:16 | latyas ( 路人 | Rank:21 漏洞数:2 | 没想到乌云币可以买书！)

    0

    如果管理员不是很2应该只是用来查询的库 233

    14# 回复此人

15. 2014-10-19 04:23 | 以梦为马 ( 路人 | Rank:0 漏洞数:1 | 一个和谐的低调主义者。)

    0

    mark....

    15# 回复此人