当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0138250

漏洞标题:奥鹏教育某分站用户密码泄露可导致学生信息受到影响(身份证、电话、证件照等信息一览无余)

相关厂商:open.com.cn

漏洞作者: 路人甲

提交时间:2015-09-01 10:57

修复时间:2015-10-16 16:12

公开时间:2015-10-16 16:12

漏洞类型:敏感信息泄露

危害等级:高

自评Rank:16

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-01: 细节已通知厂商并且等待厂商处理中
2015-09-01: 厂商已经确认,细节仅向厂商公开
2015-09-11: 细节向核心白帽子及相关领域专家公开
2015-09-21: 细节向普通白帽子公开
2015-10-01: 细节向实习白帽子公开
2015-10-16: 细节向公众公开

简要描述:

信息泄漏
身份证、电话、证件照、家庭住址等信息一览无余

详细说明:

http://eduadmin.open.com.cn/login.aspx?Pwd=qxt8324057&URLFrom=open&UserName=qingxt
用户名密码未修改导致

选区_282.png


登录

选区_283.png


访问http://examadmin.open.com.cn/Admin/Index.aspx

选区_284.png


可以看到身份证号和姓名
这里信息比较少

漏洞证明:


继续访问http://openquerysystemorg.open.com.cn/Query/index.aspx

选区_285.png


选择统计报名信息

选区_286.png


全选

选区_287.png


选区_288.png


随便打开一个链接

选区_289.png


点击详细

选区_290.png


可以看到身份证号 手机 家庭住址等信息
查看学生综合信息
输入%

选区_292.png


选择注册信息

选区_293.png


选区_294.png


可以看到证件照/电话/家庭住址和身份证号
再查看一个

选区_295.png


打开链接:
http://openquerysystemorg.open.com.cn/Query/Student/StudentShowPhoto.aspx?_stuCode=C035XXXXXXXXX
可以看到证件照、身份证照片和毕业证信息

选区_296.png


费用信息/学历信息就不查看了
其他人的就不再演示了
这里有四千多个人员信息

选区_297.png


C0355501101731509000003
其中C0355501好像时固定的
10173代表学校代码

10004 北京交通大学
10032 北京语言大学
10141 大连理工大学
10173 东北财经大学
10145 东北大学
10200 东北师范大学
10394 福建师范大学	
11901 四川大学
10698 西安交通大学
10699 西北工业大学				
10335 浙江大学 
10159 中国医科大学


1509代表招生批次

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:18

确认时间:2015-09-01 16:12

厂商回复:

已提交相关人员处理。

最新状态:

暂无

漏洞评价:

评论