南航教务处泄露学生信息漏洞的发现以及关于此事的一些想法
发现漏洞
偶然的一个发现,学校教务处网站有一个小小的漏洞,会泄露全校所有学生的学号、姓名、及照片。这个漏洞存在于新版教务处里,当登录教务处之后,点击“学生个人查询”–>“基本查询”,会出现当前登录学生的所有个人资料,同时附带个人的证件照,并且证件照之上附
带个人的姓名和学号信息,类似于下图:
漏洞便在这个照片之上。
我们右击图片查看图片属性:
然后将图片地址粘贴在浏览器的地址栏然后点回车,在浏览器里我们得到了我们的证件照。
我们注意到图片的地址是这种形式的:
…/EASys/Controls/ImageHandler.ashx?ImageName=151220101&BinaryType=xh
地址里的有一串代码:
ImageName=151220701
后面这串数字就是你的学号。
下面重点来了:
更改这个学号为另一个,比如此处我们将其改成:151220702
然后点击回车,你会惊奇的发现现在浏览器里显示的是学号为151220702这名学生的照片!
而这张图片不仅仅是证件照,在其左下角还标注着此人的学号和姓名。
想法
- 每个人的证件照都是心中难灭的伤,可以用python爬虫将全校学生的证件照全部抓取下来,做一套api,开发一个用学号查询证件照的软件。(https://github.com/Root-lee/spider_photos_nuaa)
- 这个新版的教务处还未正式上线,有机会可以向负责任提交这个漏洞。
- 不仅国内的大学,包括国内的一些著名的公司,都不太注重网站的安全,很容易留下漏洞,被别有用心的人利用。尤其是你的数据库里还包含着大量的用户信息时,网站责任人的失责更是会造成极其重大的损失。真诚希望每个组织不论是学校还是公司都能在网站安全方面有所改进。