当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0171650

漏洞标题:吉林大学sais系统的设计缺陷

相关厂商:jlu.edu.cn

漏洞作者: 路人甲

提交时间:2016-01-21 16:49

修复时间:2016-03-05 09:52

公开时间:2016-03-05 09:52

漏洞类型:网络设计缺陷/逻辑错误

危害等级:高

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-21: 细节已通知厂商并且等待厂商处理中
2016-01-22: 厂商已经确认,细节仅向厂商公开
2016-02-01: 细节向核心白帽子及相关领域专家公开
2016-02-11: 细节向普通白帽子公开
2016-02-21: 细节向实习白帽子公开
2016-03-05: 细节向公众公开

简要描述:

由于设计上的缺陷可以轻易得到绝大部分在校学生全部的全部个人信息!

详细说明:

sais.jlu.edu.cn
这个网站里面存储了吉林大学在校学生全部的个人信息。但是由于学号的自身规律和特点,以及初始密码的简陋,大部分缺少安全常识的学生的个人信息就会全部暴露。

1.png


首先我要吐槽,这个网站的初始密码竟然是‘123’!!!!所有人都是123!!!!!!
还有用户名,即学生的学号,前两位代表院系,3,4位表示入学年份,5,6位表示班级,7,8位表示班级中的顺序。
所以我就随便编了几组学号,发现用123作为密码能登录成功的正确率至少有五成!!!
6w在校大学生我可以拿到一半的人的信息。。
这是一位躺枪的学长的个人信息!!!比户口本还全有木有。。。

22.png


33.png


44.png


类似的

55.png


66.png


随便翻翻,看到好看的妹子(照片都是素颜哦),寝室号,qq号,手机号都有了,感觉自己萌萌哒。。。
而知道了这些信息可以触发连锁反应,可以根据学号和身份证号后六位登录例如uims之类的校内网,后果很严重!

漏洞证明:

修复方案:

建议更改初始密码,并且在进入sais系统时用醒目的提示提醒更换初始密码。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2016-01-22 09:40

厂商回复:

...

最新状态:

暂无


漏洞评价:

评价