某省高等学校学生资助系统两百多万学生信息可被遍历获取

2015年8月14日19:36:29评论324 views字数 262阅读0分52秒阅读模式

摘要

2014-11-19：细节已通知厂商并且等待厂商处理中
2014-11-21：厂商已经确认，细节仅向厂商公开
2014-12-01：细节向核心白帽子及相关领域专家公开
2014-12-11：细节向普通白帽子公开
2014-12-21：细节向实习白帽子公开
2015-01-01：细节向公众公开

漏洞概要关注数(5) 关注此漏洞

缺陷编号： WooYun-2014-83530

漏洞标题：某省高等学校学生资助系统两百多万学生信息可被遍历获取

漏洞作者： Sharer

提交时间： 2014-11-19 10:45

公开时间： 2015-01-01 10:46

漏洞类型：网络未授权访问

危害等级：中

自评Rank： 10

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：越权操作未授权访问用户敏感信息泄露遍历

0人收藏

漏洞详情

披露状态：

简要描述：

可获得如下信息
姓名：学号：
性别：身份证号码：
出生日期：民族：
政治面貌：入学时间：
学校：学院：
专业：班级：
生源所在地：
就读所在地：户籍类型：
移动电话：固定电话：
家庭信息
关系工作单位姓名电话
近亲属
家庭经济情况
家庭人均年收入
家庭主要收入来源
遭受自然灾害
遭受突发以外事件
家庭成员失业
家庭欠债情况
特殊情况
目前涉及全省2420997名学生，而且数字还在不断上升中...

详细说明：

http://**.**.**.**/student/login.jsp

页面下方有这样一句话...提示：登陆系统的默认密码为：123456

全省学生辣么多...肯定有懒得改密码的...而且经测试发现几乎没人改...

于是找个学校，百度下学号格式，这里以云南中医学院为例...

学号:201101010101 密码:123456

登录成功...在校级公示查询处查询申请表，不填任何筛选信息...

随便打开一个查看详情...

好详细...这个页面的url是http://**.**.**.**/student/appViewPublic.jsp?applyId=2398664&applyTypeId=1&publicType=school

换一个applyId试试...

http://**.**.**.**/student/appViewPublic.jsp?applyId=2111111&applyTypeId=1&publicType=school

出来了！而且已经是其他学校的学生了...

截至俺提交时经区间测试发现applyId在0000001到2420997之间的学生信息都可访问...涉及全省2420997名学生，而且数字还在不断上升中...

漏洞证明：

http://**.**.**.**/student/login.jsp

页面下方有这样一句话...提示：登陆系统的默认密码为：123456

全省学生辣么多...肯定有懒得改密码的...而且经测试发现几乎没人改...

于是找个学校，百度下学号格式，这里以云南中医学院为例...

学号:201101010101 密码:123456

登录成功...在校级公示查询处查询申请表，不填任何筛选信息...

随便打开一个查看详情...

好详细...这个页面的url是http://**.**.**.**/student/appViewPublic.jsp?applyId=2398664&applyTypeId=1&publicType=school

换一个applyId试试...

http://**.**.**.**/student/appViewPublic.jsp?applyId=2111111&applyTypeId=1&publicType=school

出来了！而且已经是其他学校的学生了...

截至俺提交时经区间测试发现applyId在0000001到2420997之间的学生信息都可访问...涉及全省2420997名学生，而且数字还在不断上升中...

修复方案：

P.S.:

这里都是些穷苦人家的孩子...通常最容易被骗子骗到的也都是这些人...越穷的孩子被骗后越困难...之前听说重庆大学有一个家里不宽裕的学生被骗一万多块后跳湖自杀，很久之后遗体才被发现...想想真的很不是滋味...如果这里的信息也被黑产利用的话...相信也会发生类似的悲剧...希望你们不要给忽视了...

版权声明：转载请注明来源 Sharer@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：18

确认时间：2014-11-21 13:43

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-11-17 10:53 | ddy ( 实习白帽子 | Rank:45 漏洞数:12 | 其实第一次要我挖洞我是拒绝的。因为，你不...)

1

!

1# 回复此人
2014-11-17 10:58 | Sharer ( 路人 | Rank:18 漏洞数:2 | 人間だから堕ちるのであり、生きているから...)

2

@ddy (/≧▽≦/)你是第一个回我的…

2# 回复此人
2014-11-17 11:04 | ddy ( 实习白帽子 | Rank:45 漏洞数:12 | 其实第一次要我挖洞我是拒绝的。因为，你不...)

1

@Sharer 你也是学生吗 WooYun: 广东省教育考试院不恰当的设置会让广东考生敏感信息泄露（准考证、成绩证书的一寸头像、准考证号） %20 WooYun: 某漏洞可修改广东省教育考试服务中心任意帐号密码

3# 回复此人
2014-11-17 11:18 | Sharer ( 路人 | Rank:18 漏洞数:2 | 人間だから堕ちるのであり、生きているから...)

1

@ddy 是的…

4# 回复此人
2014-11-20 01:09 | Sharer ( 路人 | Rank:18 漏洞数:2 | 人間だから堕ちるのであり、生きているから...)

1

= =好慢的赶脚…

5# 回复此人
2014-11-22 14:51 | ddy ( 实习白帽子 | Rank:45 漏洞数:12 | 其实第一次要我挖洞我是拒绝的。因为，你不...)

1

@Sharer 18分不错哟

6# 回复此人
2014-11-22 15:34 | Sharer ( 路人 | Rank:18 漏洞数:2 | 人間だから堕ちるのであり、生きているから...)

1

@ddy (TεT）居然这么给面子我也是受宠若惊…

7# 回复此人

漏洞概要 关注数(5) 关注此漏洞