当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025424

漏洞标题:URP教务系统信息泄露漏洞--可查询学生的成绩和照片

相关厂商:北京清元优软科技有限公司

漏洞作者: syjzwjj

提交时间:2013-06-08 10:41

修复时间:2013-07-23 10:42

公开时间:2013-07-23 10:42

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:12

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-08: 细节已通知厂商并且等待厂商处理中
2013-06-12: 厂商已经确认,细节仅向厂商公开
2013-06-22: 细节向核心白帽子及相关领域专家公开
2013-07-02: 细节向普通白帽子公开
2013-07-12: 细节向实习白帽子公开
2013-07-23: 细节向公众公开

简要描述:

北京清元优软科技有限公司的URP教务系统用于国内的各大高校的教务系统,但是系统存在一个页面,可以非授权查询任何学生的成绩,只要知道学生的学号,就可以查询学生成绩,身份证,头像等敏感信息。。。。漏洞通用于所有urp系统!

详细说明:

http://www.xxx.com/reportFiles/cj/cj_zwcjd.jsp

访问这个页面
输入学生学号就可以看到信息

漏洞证明:

3.JPG


只要用到urp的高校都有这个页面,北邮等高校亲测存在

修复方案:

删除页面,或者对页面访问进行一个session验证。。。方法很多。

版权声明:转载请注明来源 syjzwjj@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-06-12 20:26

厂商回复:

最新状态:

暂无


漏洞评价:

评论

  1. 2013-06-08 12:32 | SZn ( 路人 | Rank:8 漏洞数:3 | 雄鹰小时候也叫菜鸟!)

    这个应该很猛,很多高校用的都是这个!

  2. 2013-06-08 15:05 | 叶问 ( 路人 | Rank:4 漏洞数:3 | 华师 QQ695033480)

    这个洞是很久前的了吧。。。。当时还写了个遍历,全下载了。

  3. 2013-06-08 21:33 | O.o ( 普通白帽子 | Rank:105 漏洞数:12 | ส็็็็็็็็็็็็็็็็็็็...)

    @叶问 破坏计算机信息系统罪,是指违反国家规定,对计算机信息系统功能或计算机信息系统中存储、处理或者传输的数据和应用程序进行破坏,或者故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。本罪的主体为一般主体,即年满16周岁具有刑事责任能力的自然人均可构成本罪。实际能构成其罪的,通常是那些精通计算机技术、知识的专业人员,如计算机程序设计人员、计算机操作、管理维修人员等。犯本罪的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

  4. 2013-06-08 23:37 | 叶问 ( 路人 | Rank:4 漏洞数:3 | 华师 QQ695033480)

    @O.o 没过两天我的2T硬盘就摔坏了

  5. 2013-06-09 10:16 | 淡漠天空 认证白帽子 ( 实习白帽子 | Rank:1113 漏洞数:142 | M:出售GOV STATE NSA CIA NASA DHS Symant...)

    @叶问 好有爱的回复

  6. 2013-07-24 10:22 | 核攻击 ( 实习白帽子 | Rank:35 漏洞数:7 | 统治全球,奴役全人类!毁灭任何胆敢阻拦的...)

    照片吓死爹了……龅牙妹!

  7. 2013-11-25 13:55 | 牛博恩 ( 路人 | Rank:21 漏洞数:3 | Oh god my savior)

    截图也不找个漂亮的妹子。裤子都脱了不要给我看这个啊

  8. 2014-03-02 14:08 | return ( 路人 | Rank:3 漏洞数:3 | 伪技术爱好者。)

    之前我就想说,你这是用他么什么软件涂抹的。。

  9. 2015-08-29 14:29 | 北京清元优软科技有限公司(乌云厂商)

    此漏洞已经修复,并已经通知相关高校升级,感谢您的提交