漏洞概要 关注数(24) 关注此漏洞
>
漏洞详情
披露状态:
2014-04-04: 细节已通知厂商并且等待厂商处理中
2014-04-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
天津大学某分站权限绕过各种信息测漏,身份信息呀!
详细说明:
这次是天津大学教育经济信息网
http://219.243.39.24/wctju3/
时间很紧,一会还要上课,就随便发现了一个后台
http://219.243.39.24/wctju3/admin_login.aspx
我次奥,登不进去啊,不过就一个密码,应该可以暴力破解,不过我没管他
然后不小心发现了后台可以进去
http://219.243.39.24/wctju3/Admin.aspx
后台大家自己进去看啊,其他的不多说,在左下方有个学号和工资号查询的地方
我们随便百度一个学号试一下吧
2011209325 这个学号,我们在后台输入一下,点击查询姓名跟身份证号
果然查到是一样的撒,那么遍历学号,工资号什么的,身份证信息全收罗
然后其他系统有的就是身份证号6位是密码什么的,好严重啊我去。
漏洞证明:
这次是天津大学教育经济信息网
http://219.243.39.24/wctju3/
时间很紧,一会还要上课,就随便发现了一个后台
http://219.243.39.24/wctju3/admin_login.aspx
我次奥,登不进去啊,不过就一个密码,应该可以暴力破解,不过我没管他
然后不小心发现了后台可以进去
http://219.243.39.24/wctju3/Admin.aspx
后台大家自己进去看啊,其他的不多说,在左下方有个学号和工资号查询的地方
我们随便百度一个学号试一下吧
2011209325 这个学号,我们在后台输入一下,点击查询姓名跟身份证号
果然查到是一样的撒,那么遍历学号,工资号什么的,身份证信息全收罗
然后其他系统有的就是身份证号6位是密码什么的,好严重啊我去。
修复方案:
不能透露太多撒
版权声明:转载请注明来源 计算姬@乌云
>
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-04-09 11:07
厂商回复:
最新状态:
暂无