URP 教务系统越权访问漏洞报告

前方高能预警!

这是一个URP教务系统漏洞报告。

觉悟不高的同学请自觉离开。

//正文的分隔符

缺陷编号: WooYun-2013-25424
漏洞标题: URP教务系统信息泄露漏洞–可查询学生的成绩和照片
相关厂商: 北京清元优软科技有限公司
漏洞作者: syjzwjj
提交时间: 2013-06-08 10:41
公开时间: 2013-07-23 10:42
漏洞类型: 未授权访问/权限绕过
危害等级: 中
自评Rank: 12
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org

漏洞详情:

这是一个URP教务管理系统非授权查询BUG。

北京清元优软科技有限公司开发的URP系统存在一个页面,可以非授权查询任何学生和老师的大量相关信息。
1.只要知道学生的学号,就可以查询学生成绩,身份证,头像等个人敏感信息。
2.可以非授权查询系级教务信息。包括考试信息、排课信息、注册交费信息等大量信息。

全部信息均可用EXCEL或PDF导出!
且该漏洞通用于所有URP系统!

漏洞再现:

以上链接均不需要系统管理员或教师级别账户授权。

该漏洞最早由白帽子syjzwjj于2013-06-08披露在漏洞平台乌云,并于2013-07-23向公众公开。
最早的漏洞,访问者甚至不需要登陆URP就能直接查询信息。
漏洞披露后,厂商听取建议在该页面添加了session验证,但是仍未设置限制权限。因此学生账号也可以访问。
2013-11-28,乌云白帽子惆惆怅XD就以上细节再次提交了该漏洞,并于2014-02-26向公众开放。

厂商回复:

CNVD确认并复现所述情况,已经由CNVD直接联系软件生产厂商,同时抄报给教育网应急组织。对于所述情况,确认为历史遗留问题。

上海海洋大学URP系统亲测漏洞存在!
本文发出时已向系统管理员反映。

如无注明,均为原创。转载请注明: 转载自MITGAI`S THINKING
本文链接地址: URP 教务系统越权访问漏洞报告

知识共享许可协议本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

如果本文对您生活或工作产生了积极影响,那我非常高兴。
如果您愿意为文章的内容或想法提供支持,欢迎点击下边的捐赠按钮,资助作者创作更多高价值高品质的内容。
支付宝捐赠
anyShare分享到:

By Tony Su on 2月 28, 2014 · Posted in Web

Be the first to post a comment.