前方高能预警!
这是一个URP教务系统漏洞报告。
觉悟不高的同学请自觉离开。
//正文的分隔符
缺陷编号: WooYun-2013-25424
漏洞标题: URP教务系统信息泄露漏洞–可查询学生的成绩和照片
相关厂商: 北京清元优软科技有限公司
漏洞作者: syjzwjj
提交时间: 2013-06-08 10:41
公开时间: 2013-07-23 10:42
漏洞类型: 未授权访问/权限绕过
危害等级: 中
自评Rank: 12
漏洞状态: 已交由第三方厂商(cncert国家互联网应急中心)处理
漏洞来源: http://www.wooyun.org
漏洞详情:
这是一个URP教务管理系统非授权查询BUG。
北京清元优软科技有限公司开发的URP系统存在一个页面,可以非授权查询任何学生和老师的大量相关信息。
1.只要知道学生的学号,就可以查询学生成绩,身份证,头像等个人敏感信息。
2.可以非授权查询系级教务信息。包括考试信息、排课信息、注册交费信息等大量信息。
全部信息均可用EXCEL或PDF导出!
且该漏洞通用于所有URP系统!
漏洞再现:
|
1 2 3 4 5 6 7 8 |
//非授权查询学生成绩信息 http://xxx.xxx.xxx/reportFiles/cj/cj_zwcjd.jsp //非授权系级信息查询 http://xxx.xxx.xxx/reportFiles/index.jsp //目录遍历,部分URP无效 http://xxx.xxx.xxx/reportFiles/ |
以上链接均不需要系统管理员或教师级别账户授权。
该漏洞最早由白帽子syjzwjj于2013-06-08披露在漏洞平台乌云,并于2013-07-23向公众公开。
最早的漏洞,访问者甚至不需要登陆URP就能直接查询信息。
漏洞披露后,厂商听取建议在该页面添加了session验证,但是仍未设置限制权限。因此学生账号也可以访问。
2013-11-28,乌云白帽子惆惆怅XD就以上细节再次提交了该漏洞,并于2014-02-26向公众开放。
厂商回复:
CNVD确认并复现所述情况,已经由CNVD直接联系软件生产厂商,同时抄报给教育网应急组织。对于所述情况,确认为历史遗留问题。
上海海洋大学URP系统亲测漏洞存在!
本文发出时已向系统管理员反映。
本文链接地址: URP 教务系统越权访问漏洞报告
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。
如果您愿意为文章的内容或想法提供支持,欢迎点击下边的捐赠按钮,资助作者创作更多高价值高品质的内容。