当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0148988

漏洞标题:川师某站敏感信息泄露

相关厂商:sicnu.edu.cn

漏洞作者: X4car

提交时间:2015-10-24 09:17

修复时间:2015-12-10 09:36

公开时间:2015-12-10 09:36

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-24: 细节已通知厂商并且等待厂商处理中
2015-10-26: 厂商已经确认,细节仅向厂商公开
2015-11-05: 细节向核心白帽子及相关领域专家公开
2015-11-15: 细节向普通白帽子公开
2015-11-25: 细节向实习白帽子公开
2015-12-10: 细节向公众公开

简要描述:

川师一服务器访问权限控制不当,造成学生数据泄露。还好没电话,不然就像我们学校那样被诈骗了。为什么自己给了20呢,因为这个数据太多了,就看你们给不给力了。

详细说明:

首先说说这台服务器:202.115.194.51(是你们的吧)
然后,我是通过骚c段骚到的。发现其下有Admin目录,并且发现http://202.115.194.51/Admin/Default.aspx
可以直接访问,绕过登陆验证。在这里面几乎跟教务系统的东西相关

01.png


这样可以看到跟教学有关信息,还可以修改。

漏洞证明:

证明:
1.查询学生信息

02.jpg


2.还有一些其他信息就不一一展示了。
3.我还没说完,给你们看个好东西

03.png


这就有点恐怖了吧~~~~
4.我是一个好人,拒绝水表

修复方案:

我已混入你们的信安协会的群,所以,我认为你们会的。
我真是好人

版权声明:转载请注明来源 X4car@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2015-10-26 09:35

厂商回复:

已做相应处理,感谢对四川师范大学关注。另外这位白帽同学,你的文档风格风格只能给1颗星

最新状态:

暂无


漏洞评价:

评价