当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-052777

漏洞标题:某高校研究生教务通用系统未授权访问泄漏学生敏感信息(涉及不少高校)

相关厂商:高校研究生教务系统

漏洞作者: Adra1n

提交时间:2014-03-06 19:54

修复时间:2014-06-04 19:54

公开时间:2014-06-04 19:54

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-03-06: 细节已通知厂商并且等待厂商处理中
2014-03-11: 厂商已经确认,细节仅向厂商公开
2014-03-14: 细节向第三方安全合作伙伴开放
2014-05-05: 细节向核心白帽子及相关领域专家公开
2014-05-15: 细节向普通白帽子公开
2014-05-25: 细节向实习白帽子公开
2014-06-04: 细节向公众公开

简要描述:

涉及到较多高校,不乏211,问题是一个高校常用的研究生管理系统,估计上万学生信息暴露。

详细说明:

google关键字:inurl:student_info1.aspx
直接进入研究生教务处的管理系统的页面,只要更改相应的学生学号就能查询到该学生的身份证号,家庭地址,家庭电话,指导老师等等。
写了python随便跑了下就有上千的学生信息暴露了,google的话还有不少学校受到影响。

33.jpg

漏洞证明:

33.jpg


修复方案:

版权声明:转载请注明来源 Adra1n@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2014-03-11 09:08

厂商回复:

CNVD确认所述情况,已经转报给教育网应急组织。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-03-06 22:22 | 超级大菜鸟 ( 路人 | Rank:5 漏洞数:3 | <<<<<<<<<<<<<<<<<<<<<<<<________________...)

    @mOon

  2. 2014-03-06 22:23 | 超级大菜鸟 ( 路人 | Rank:5 漏洞数:3 | <<<<<<<<<<<<<<<<<<<<<<<<________________...)

    @mOon

  3. 2014-03-06 22:23 | 超级大菜鸟 ( 路人 | Rank:5 漏洞数:3 | <<<<<<<<<<<<<<<<<<<<<<<<________________...)

    @mOon @mOon @mOon @mOon @mOon

  4. 2014-05-29 21:11 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @Adra1n 17条结果也叫涉及不少高校?

  5. 2014-06-04 21:27 | 动后河 ( 实习白帽子 | Rank:51 漏洞数:13 | ☭)

    截图的姑娘气色不错啊!我喜欢!

  6. 2014-06-04 21:37 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    我靠,这个多少钱?

  7. 2014-06-05 09:49 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    妹子不错

  8. 2014-06-05 13:15 | dlevr ( 实习白帽子 | Rank:33 漏洞数:10 | 菜鸟一只,大神勿喷!)

    这个还给钱了?那我这个可查全国妹子13届妹子照片的洞洞呢? WooYun: 中国高等教育学生信息网全国大学生学籍照片无授权可任意查看漏洞

  9. 2014-06-05 17:06 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    @dlevr 厂商还没确认吧 耐心等吧

  10. 2014-06-05 17:09 | dlevr ( 实习白帽子 | Rank:33 漏洞数:10 | 菜鸟一只,大神勿喷!)

    @伟哥 是啊 不过漏洞貌似修补了 查学籍已经不显示照片了

  11. 2014-06-05 17:11 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    @dlevr 修复漏洞和确认漏洞是两码事 做白帽子不光是为了钱 咳咳 但是有额外的收入也是最好不过的了

  12. 2014-06-05 17:41 | dlevr ( 实习白帽子 | Rank:33 漏洞数:10 | 菜鸟一只,大神勿喷!)

    @伟哥 额 我都不知道哪乌云币是干啥的

  13. 2014-06-05 21:24 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    @dlevr 我也不知道 你要不 我送你

  14. 2014-06-05 21:34 | dlevr ( 实习白帽子 | Rank:33 漏洞数:10 | 菜鸟一只,大神勿喷!)

    @伟哥 哈哈 好啊 我不介意

  15. 2014-06-06 13:09 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    @dlevr 给我地址 我烧给你

  16. 2014-06-06 13:12 | dlevr ( 实习白帽子 | Rank:33 漏洞数:10 | 菜鸟一只,大神勿喷!)

    银河国地球省亚洲市

  17. 2014-06-06 13:15 | 伟哥 ( 普通白帽子 | Rank:110 漏洞数:29 | 不怕流氓有文化,就怕色狼有耐心,那么一只起...)

    @dlevr WB 已烧请注意查收

  18. 2014-06-07 14:04 | wellsun ( 路人 | Rank:0 漏洞数:1 | www.wellsun.com)

    Adra1n ~~发出来干什么..这个我早发现了,留着做社工库

  19. 2014-06-24 16:00 | reality0ne ( 路人 | Rank:18 漏洞数:7 )

    居然不是正方