当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-08270

漏洞标题:陕西省教育厅某成绩查询系统任意用户信息查询

相关厂商:陕西省教育厅

漏洞作者: mgOrange

提交时间:2012-06-13 20:42

修复时间:2012-07-28 20:43

公开时间:2012-07-28 20:43

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2012-06-13: 细节已通知厂商并且等待厂商处理中
2012-06-18: 厂商已经确认,细节仅向厂商公开
2012-06-28: 细节向核心白帽子及相关领域专家公开
2012-07-08: 细节向普通白帽子公开
2012-07-18: 细节向实习白帽子公开
2012-07-28: 细节向公众公开

简要描述:

陕西省教育部某成绩查询系统不需要任何信息和验证可以查询任意参加该考试的同学的姓名、性别、准考证号、考试类型、成绩以及最可怕的身份证号!
利用简单、有心人可以很容易写爬虫获取全库信息。

详细说明:

陕西省2012年中小学教师资格教育基础理论知识考试成绩查询系统
http://117.34.1.18/
(同样适用于2011年的)
轻松绕过登录,可以不需要任何验证信息查询到所有考生的成绩,而且还可以爆后台错误。
(估计还有大头可以玩,这段时间事多,就不研究了)
只要知道了ScoreReport这个aspx名,一切随意啊。
http://117.34.1.18/ScoreReport.aspx?i=NTU1NQ==
http://117.34.1.18:8080/ScoreReport.aspx?i=NTU1NQ==
无session验证,要查询的数据id直接GET获得。i后面的参数直接就是Base64加密的,2011年的原文是从1531递增到xxxx的,2012年的是从1开始递增的,具体到多少没试,但是20000个是有了,二分一下就找到上限了,有心人一个爬虫很快就把整个数据表爬到了,几万个姓名+身份证号啊

漏洞证明:

证明:
http://117.34.1.18/ScoreReport.aspx?i=NTU1NQ==


轻松写爬虫啊有没有:


2011年的同理:
http://117.34.1.18:8080/ScoreReport.aspx?i=NTU1NQ==

修复方案:

登录的代码改两行,不要光查一个id就形成连接跳转了。ScoreReport用session获取数据,不要用GET了。
麻烦不了多少,而且不用base64了,不用生产连接了,代码应该还更短。

版权声明:转载请注明来源 mgOrange@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2012-06-18 12:45

厂商回复:

CNVD确认并复现部分所述情况,转由CNCERT陕西分中心处置。
参考评分原则,以部分机密性影响计,考虑到涉及教育部门考试系统,评分如下:4.96(中危,对机密性构成部分影响)*1.1(参数构造)*1.3(较严重)=7.092

最新状态:

暂无


漏洞评价:

评论

  1. 2012-06-14 11:29 | ubuntu ( 普通白帽子 | Rank:148 漏洞数:12 | 一切皆有可能……)

    期待结果……

  2. 2012-06-18 13:16 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    没照片的都是耍流氓

  3. 2012-06-21 16:03 | mgOrange ( 路人 | Rank:7 漏洞数:2 | 对安全很感兴趣的小白一个)

    @xsser 这流氓当的让我情何以堪啊