当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-055831

漏洞标题:广东省教育厅各大高校数据泄露(姓名、身份证号)存在泄漏风险

相关厂商:广东省信息安全测评中心

漏洞作者: 泳少

提交时间:2014-04-30 19:43

修复时间:2014-06-14 19:43

公开时间:2014-06-14 19:43

漏洞类型:用户资料大量泄漏

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-30: 细节已通知厂商并且等待厂商处理中
2014-05-04: 厂商已经确认,细节仅向厂商公开
2014-05-14: 细节向核心白帽子及相关领域专家公开
2014-05-24: 细节向普通白帽子公开
2014-06-03: 细节向实习白帽子公开
2014-06-14: 细节向公众公开

简要描述:

RT。。这么霸气的标题。。拥有这么多数据。。我想搞啥都可以了。对吧?

详细说明:

话说这么好的数据哪里找呢?唉。。。各位学生抱歉了哈!

http://www.edugd.cn/web/46/xw/1/46_11872/第二批数据问题_20080311.TXT

我就搞了点。。。发出来把

---------------
广东金融学院
---------------
第69行:学制不符。姓名为:邵碧莹,身份证号为:441224198310130523,第二批学制:5年,第一批学制:4年 
第70行:学制不符。姓名为:姬明霞,身份证号为:412724198306026486,第二批学制:5年,第一批学制:4年 
第702行:性别不符。姓名为:秦士宁,身份证号为:341282198601196821,第二批性别:女,第一批性别:男 
第752行:性别不符。姓名为:赖裕辉,身份证号为:441422198809174240,第二批性别:女,第一批性别:男 
第951行:姓名不符。身份证号为:441224198611021726,第二批姓名:蔡凯璇,第一批姓名:蔡凯旋
---------------
北京师范大学珠海分校
---------------
第43行:性别不符。姓名为:包清梅,身份证号为:352228198609181020,第二批性别:女,第一批性别:男 
第125行:性别不符。姓名为:顾党辉,身份证号为:441602198506090619,第二批性别:男,第一批性别:女 
第137行:性别不符。姓名为:孙夏,身份证号为:230183198505170829,第二批性别:女,第一批性别:男 
第293行:性别不符。姓名为:周英敏,身份证号为:370882198904095566,第二批性别:女,第一批性别:男 
第295行:性别不符。姓名为:刘璐,身份证号为:370782198407077425,第二批性别:女,第一批性别:男 
第296行:性别不符。姓名为:尹雪姣,身份证号为:370704198703051626,第二批性别:女,第一批性别:男 
第297行:性别不符。姓名为:傅晓菲,身份证号为:370783198705204943,第二批性别:女,第一批性别:男 
第302行:性别不符。姓名为:邓娟,身份证号为:362429198808071747,第二批性别:女,第一批性别:男 
第304行:性别不符。姓名为:朱春颖,身份证号为:440881198512280641,第二批性别:女,第一批性别:男
---------------
电子科技大学中山学院
---------------
第52行:性别不符。姓名为:詹淑娇,身份证号为:445122198606120944,第二批性别:男,第一批性别:女 
---------------
东莞理工学院
---------------
第470行:性别不符。姓名为:李兵,身份证号为:440921198610231623,第二批性别:女,第一批性别:男 
---------------
番禺职业技术学院
----------------
第40行:性别不符。姓名为:李建文,身份证号为:440184198503273037,第二批性别:男,第一批性别:女 
第115行:性别不符。姓名为:陈英红,身份证号为:440882198512172719,第二批性别:男,第一批性别:女 
第149行:性别不符。姓名为:肖小劲,身份证号为:440882198604094746,第二批性别:男,第一批性别:女 
第173行:性别不符。姓名为:莫耀初,身份证号为:440785198606286315,第二批性别:男,第一批性别:女 
第227行:性别不符。姓名为:彭静,身份证号为:421221198710100160,第二批性别:女,第一批性别:男
----------------
佛山科学技术学院
----------------
第538行:姓名不符。身份证号为:441427198702230021,第二批姓名:徐珊珊,第一批姓名:徐姗姗 
----------------
广东纺织职业技术学院
------------------
第37行:姓名不符。身份证号为:441521198610281419,第二批姓名:杨其俊,第一批姓名:扬其俊 
第51行:姓名不符。身份证号为:440982198401094741,第二批姓名:彭坤娥,第一批姓名:彭坤锇 
第56行:姓名不符。身份证号为:440183198405257547,第二批姓名:徐慰芬,第一批姓名:徐慰芳 
第101行:姓名不符。身份证号为:440222198512282220,第二批姓名:谢凤琼,第一批姓名:谢风琼
------------------
广东工程职业技术学院
------------------
第222行:姓名不符。身份证号为:441302198702080032,第二批姓名:候德新,第一批姓名:侯德新 
第224行:性别不符。姓名为:李健青,身份证号为:440782198608172128,第二批性别:男,第一批性别:女 
----------------
广东工贸职业技术学院
----------------
第75行:姓名不符。身份证号为:440681198610023680,第二批姓名:伍慧姗,第一批姓名:伍慧珊 
第209行:性别不符。姓名为:陈晓梅,身份证号为:450521198412100921,第二批性别:男,第一批性别:女 
第277行:姓名不符。身份证号为:441223198512071713,第二批姓名:梁世杰,第一批姓名:粱世杰 
第292行:学制不符。姓名为:李艳,身份证号为:341222198902196829,第二批学制:2年,第一批学制:3年 
第293行:学制不符。姓名为:陈剑锋,身份证号为:440785198706103117,第二批学制:2年,第一批学制:3年 
第294行:学制不符。姓名为:何二普,身份证号为:441721198511010059,第二批学制:2年,第一批学制:3年 
第295行:学制不符。姓名为:胡林,身份证号为:341225198601212716,第二批学制:2年,第一批学制:3年

QQ图片20140407134627.jpg

漏洞证明:

</code>

QQ图片20140407134627.jpg

修复方案:

删除!这个世界存在这么多泄露。还会有隐私吗?妈妈再也不用担心我的身份证号码泄露不出去了

版权声明:转载请注明来源 泳少@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-05-04 16:14

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现
影响的数据:中
攻击成本:低
造成影响:低
综合评级为:低,rank:10
正在联系相关网站管理单位处置。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-04-30 19:50 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @疯狗 大哥。。你耍我啊。。为啥现在才。。。

  2. 2014-04-30 19:57 | chinakid ( 路人 | Rank:6 漏洞数:3 | 小白一枚,爱好美女。)

    我擦,我今天中午匿名提交的这个。。为嘛你比我晚提交,都能审核成功。不带这么坑人的好我操

  3. 2014-04-30 20:01 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @chinakid 我会告诉你。。我一早提交了么?只是忽略了。。然后就。。

  4. 2014-04-30 20:03 | chinakid ( 路人 | Rank:6 漏洞数:3 | 小白一枚,爱好美女。)

    好坑的感脚。。。一早提交,现在才通过

  5. 2014-04-30 20:05 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @chinakid 是啊。。所以我问疯狗呢

  6. 2014-04-30 20:05 | chinakid ( 路人 | Rank:6 漏洞数:3 | 小白一枚,爱好美女。)

    桑心呀。。。撸管去

  7. 2014-04-30 20:11 | 光刃 ( 普通白帽子 | Rank:200 漏洞数:24 | 萝卜白菜保平安)

    支持一下!

  8. 2014-04-30 20:57 | Mody ( 普通白帽子 | Rank:110 漏洞数:27 | "><img src=x onerror=alert(1);> <img s...)

    @chinakid @泳少 梧桐雨之前一年前提交的漏洞没审核,然后我跟提交她就审核了,然后重复了。。。正常现象

  9. 2014-04-30 21:01 | 不进则退 ( 路人 | Rank:2 漏洞数:1 | 慢慢成长,不进则退。)

    @疯狗吼吼,审核一下吧,

  10. 2014-04-30 21:09 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @Mody 不知道。。。

  11. 2014-04-30 21:10 | chinakid ( 路人 | Rank:6 漏洞数:3 | 小白一枚,爱好美女。)

    。。蛋疼

  12. 2014-05-01 10:46 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    这个不算漏洞把 我所在的地方 可以随意查阅身份证号貌似 很多年前我觉得身份证号和姓名的对应关系 都已经不算隐私或者机密了

  13. 2014-05-01 11:34 | 泳少 ( 普通白帽子 | Rank:231 漏洞数:79 | ★ 梦想这条路踏上了,跪着也要...)

    @abaddon 你的身份证号码和姓名给我,你说能干什么

  14. 2014-05-01 19:10 | abaddon ( 实习白帽子 | Rank:37 漏洞数:10 | 我叫什么名字)

    @泳少 貌似去大学的招生就业处一查 或者住房公积金办事处网站 或者医保什么的 以前可以查到。。。你可以弄我信用卡网银和支付宝还有手机电话宽带甚至去贷款不成?

  15. 2014-06-14 19:57 | 木易耳朵 ( 实习白帽子 | Rank:33 漏洞数:4 | 搞搞基,日日站,人生乐逍遥。)

    @泳少 只有身份证号 跟 姓名 确实不能干什么。

  16. 2014-06-15 20:46 | 碎梦师 ( 路人 | Rank:18 漏洞数:3 | 一个不懂技术靠撞的菜鸟)

    @abaddon 个人信息泄露,不一定被利用了才觉得怎样,就好像别人看到你的内裤那样,虽然好像也不会怎样,但心理上给看到是不是觉得有点不爽?有名字,有学校名,有身份证,三者已经足够确认一个人的身份,纳入人肉搜索裤中,可以用的了