未分類
21 11 月 2020

学校教务系统的教师查询会暴露身份证信息

学校教务系统的教师查询会暴露身份证信息

資深大佬 : AbcHiyi 6

事情是这样的,学生每月可以给教师辅导员打分。然和为了图省事我做了个一键考评的工具。无意间发现查询接口中查询教师时能获取整个院校教师学生的个人信息。包括手机号,身份证,姓名等等这样 做合理吗? 任何人都能获取到信息。

大佬有話說 (40)

  • 資深大佬 : bequt

    这不是很正常, 以前大学的时候, 所有院系的内部都用一个接口, 随便破….
    照片 身份证 手机 住址都有.
    我特么.

  • 資深大佬 : AbcHiyi

    @bequt 这也太偷懒了吧,被居心不良的人利用了怎么办,我也向校方反映了这个问题,之后也没有下文了

  • 資深大佬 : zjsxwc

    搞诈骗吗?

  • 資深大佬 : faceair

    年轻的时候遇到过类似的问题,那时候走乌云联系厂商了
    https://wy.zone.ci/bugs/bug_detail.php?wybug_id=wooyun-2015-0114210
    https://wy.zone.ci/bugs/bug_detail.php?wybug_id=wooyun-2015-0115640

  • 資深大佬 : lovecy

    @AbcHiyi 这些信息已经都泛滥了。。。,现在随便接个推广电话,人都知道我的学校

  • 資深大佬 : qiayue

    可以从最信任的导师开始,逐级向上反映

  • 資深大佬 : Cielsky

    都是内网,没人关心。

  • 資深大佬 : Lemeng

    内网吧,不过一般觉得都是学生,没防备,不过确实是安全漏洞

  • 資深大佬 : ArthurSS

    类似的问题太多了,很多系统都不在意这些,随随便便就能模拟调通接口

  • 資深大佬 : ztechstack

    好像有个高校漏洞平台
    https://src.sjtu.edu.cn/

  • 資深大佬 : StarUDream

    做这种事也小心点,我大学同学参与了一个类似的项目,前期没多少人用学校也没说啥,后面用的人多了,网络中心直接找来了,强制要求下架所有相关内容。

  • 資深大佬 : learningman

    高校嘛,这些漏洞太正常了。

  • 資深大佬 : Keyes

    坐等隐私法上线

  • 資深大佬 : franc3567

    跟辅导员说

  • 資深大佬 : DoctorCat

    已经触犯法律了。可以举报了。

  • 資深大佬 : Koshea

    这种事校内是无法推动的。建议向同级纪监委 或你校主管部门举报。

  • 資深大佬 : illl

    校长信箱试试,或者去高校漏洞平台提交

  • 資深大佬 : napsterwu

    正方呗?

  • 資深大佬 : IFoon

    我给你说,这种事情直接给网警最有效。网警一个电话过去他们就得整改。

  • 資深大佬 : xiaomimei

    #10 正解,交到平台上,他们会联系学校处理的

  • 資深大佬 : systemcall

    班级群里面挂个公网随便访问的在线表格的链接让大家自己填,才是最常见的吧
    什么操作都不需要就可以抓下来大量的信息,精确的住址、整个家庭的身份信息之类的,甚至还有身体的信息

  • 資深大佬 : comsweetcs

    这都是内部开发图省事搞的鬼,一个接口走天下,要是可以他都想整个数据库通过一个接口给你返回,前端自己再去筛选。

  • 資深大佬 : ETiV

    我想起年初帮家人预约医院,那个医院的接口也会暴露坐诊大夫的姓名、身份证号

  • 資深大佬 : dangyuluo

    正方?

  • 資深大佬 : wowawesome

    做过某高校的系统, 师生信息一览无遗.

  • 資深大佬 : tangchi695

    我大学的时候还有过半个学校的入学信息,啥都有。

  • 資深大佬 : ArrayBuffer

    我大学刚入学的时候我偶然从老师那里获得了 **同级所有学生信息.xlsx**, 当然这种信息是不会完全公开的, 算是半公开的, 所以即使信息泄露也无法追责

  • 資深大佬 : goodboy95

    以前上大学的时候参加了一个计算机社团,大二的时候社团有一天讲网络安全,顺手拿了我们前一天填写信息的网站做示例,把 cookie 一改,秒变管理员……

  • 資深大佬 : Vegetable

    你已涉嫌违反我国相关法律 /doge

  • 資深大佬 : x86

    大学生爬过信息和照片,好像也是正方的程序,自增 ID 没鉴权

  • 資深大佬 : TypeErrorNone

    我在某个按摩平台也抓取到技师信息,手机号,手持身份证照片,自拍,平台收入,家庭地址,所有订单…..

  • 資深大佬 : 1543544726zy

    大学是中国最容易藏垃圾的地方,老师们尸位素餐感觉已经死在上个世纪了。严重拖累如今的科技发展。

  • 資深大佬 : stfu

    @TypeErrorNone 看看你的

  • 資深大佬 : TypeErrorNone

    @stfu 请你自重

  • 資深大佬 : echo314

    @1543544726zy 一个网站安全隐私问题就开始上纲上线,中国教育问题很多,但没你说的那么糟糕。

  • 資深大佬 : leido

    闷声发大财不好吗

  • 資深大佬 : LudwigWS

    我咋不知道

  • 資深大佬 : no1xsyzy

    @1543544726zy 不要在仅仅表面相关的地方发泄情绪
    另外,v2 指导原则不提倡发泄情绪

  • 資深大佬 : no1xsyzy

    你是没见过(高中)讲台电脑上放个 Excel 填内容,其他人的数据也是随便看的

  • 資深大佬 : zunceng

    可能是哪个学生的毕业设计吧。。。