偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

警示:大學(xué)數(shù)據(jù)安全不可忽視

作者:SeaCry
安全 數(shù)據(jù)安全
外網(wǎng)拿到學(xué)生數(shù)據(jù)最容易的地方是哪里?當(dāng)然是教務(wù)處學(xué)生登錄的地方,大學(xué)學(xué)生登錄教務(wù)處大部分是外網(wǎng)登錄,也有一些是內(nèi)網(wǎng)登錄。

背景介紹

最近黑產(chǎn)肆行,正好前往朋友大學(xué)游玩于是測(cè)試了一下學(xué)校的學(xué)生數(shù)據(jù)安全,希望給大家一個(gè)警示,重視內(nèi)網(wǎng)安全,重視學(xué)生數(shù)據(jù)安全。

[[138377]]

外網(wǎng)測(cè)試

外網(wǎng)拿到學(xué)生數(shù)據(jù)最容易的地方是哪里?當(dāng)然是教務(wù)處學(xué)生登錄的地方,大學(xué)學(xué)生登錄教務(wù)處大部分是外網(wǎng)登錄,也有一些是內(nèi)網(wǎng)登錄。視情況而定。關(guān)于內(nèi)網(wǎng),由于情況復(fù)雜,所以等下我們具體分析。還是讓我們談?wù)剝?nèi)網(wǎng),首先通過(guò)搜索引擎找到A大學(xué)的教務(wù)處官網(wǎng)http://jwc.xxx.edu.cn/

分析了整個(gè)網(wǎng)站,未發(fā)現(xiàn)有常見(jiàn)漏洞, 隨后我們找到了學(xué)生用戶(hù)入口,試了一下post注入。用戶(hù)名我們填123,密碼就填456123%27

警示:大學(xué)數(shù)據(jù)安全不可忽視

 

很明顯的報(bào)錯(cuò),也許到這里這篇文章就結(jié)束了。貌似可以利用,可是在后面的測(cè)試發(fā)現(xiàn),無(wú)論如何注入都不行。如果真能注入也不會(huì)有下面的內(nèi)網(wǎng)測(cè)試了。

內(nèi)網(wǎng)測(cè)試

朋友讓我去食堂吃飯。食堂里,啃著漢堡,看著來(lái)往的妹紙,心情大好。額。。。那是什么玩意兒?食堂那塊大機(jī)器是干嘛的?額,原來(lái)是一卡通終端,請(qǐng)?jiān)徫业谝淮我?jiàn)到。就是這個(gè)機(jī)器:

[[138378]]

接下來(lái)來(lái)到我們的內(nèi)網(wǎng)滲透部分,前面說(shuō)道那個(gè)一卡通的大機(jī)器。它可以告訴我們飯卡里面余額是多少,所以一定與學(xué)生數(shù)據(jù)服務(wù)器連接在一起。在終端上如何跳出沙盒,這方面已經(jīng)有了大量的資料,所以這里不再贅述。我做的很簡(jiǎn)單,跳出沙盒,創(chuàng)建一個(gè)系統(tǒng)用戶(hù),查看終端的IP:10.1.0.251,是內(nèi)網(wǎng),難道我們就沒(méi)辦法了?

別忘記,學(xué)生寢室的網(wǎng)絡(luò)是可以訪問(wèn)10.1.0.251的。這里上一張遠(yuǎn)程連接圖。

警示:大學(xué)數(shù)據(jù)安全不可忽視

 

好了,接下來(lái)我們?nèi)フ覕?shù)據(jù)服務(wù)器的ip是多少, 在服務(wù)器終端文件里面翻了好久,終于找到一個(gè)敏感數(shù)據(jù),

警示:大學(xué)數(shù)據(jù)安全不可忽視

 

于是本機(jī)訪問(wèn)10.1.0.230/selfsearh

警示:大學(xué)數(shù)據(jù)安全不可忽視

 

當(dāng)我看到這個(gè)地址的時(shí)候http://10.1.0.230/selfsearch/Index_ShowNews.aspx?NewsCode=247

測(cè)試了一下,發(fā)現(xiàn)注入,讓我們直接用sqlmap跑一下,oracle數(shù)據(jù)庫(kù)。其實(shí)我們發(fā)現(xiàn),還可以給學(xué)生飯卡隨意充錢(qián)。危害確實(shí)不小。

上最后一張學(xué)生信息圖

警示:大學(xué)數(shù)據(jù)安全不可忽視

第一列是身份證號(hào),第二列是學(xué)生姓名,第三列是學(xué)生學(xué)號(hào)

就這樣我們通過(guò)很簡(jiǎn)單的手法輕易達(dá)到了我們的測(cè)試效果,另外,我們不僅能得到學(xué)生信息,還能在這里面修改學(xué)生的一卡通信息,如充值飯卡。。。

可能造成的危害

1 學(xué)生信息泄漏

2 學(xué)生一卡通賬戶(hù)金額修改

存在問(wèn)題

1 終端沙盒跳出,就算不能創(chuàng)建用戶(hù),也能夠?yàn)g覽到大量敏感信息。

2 網(wǎng)站程序存在sql注入,測(cè)試中發(fā)現(xiàn),本文中的sql注入能夠跨褲查詢(xún),危害更大,希望在這方面能夠做到權(quán)限限制。

整改措施

1 終端程序升級(jí),防沙盒跳出

2 網(wǎng)站程序修補(bǔ)漏洞 權(quán)限限制

以上漏洞在大部分大學(xué)應(yīng)該都存在,發(fā)這篇文章的目的也是希望學(xué)校重視學(xué)生數(shù)據(jù)安全,那樣,每年學(xué)生詐騙案件說(shuō)不定也會(huì)少一點(diǎn)。

最后,切勿嘗試?yán)靡陨下┒醋鲞`法規(guī)的事。截至發(fā)稿日期,已經(jīng)聯(lián)系管理員修補(bǔ)漏洞。

責(zé)任編輯:藍(lán)雨淚 來(lái)源: FreeBuf
數(shù)據(jù)安全內(nèi)網(wǎng)安全
相關(guān)推薦

2012-04-27 14:56:46

云安全亞馬遜微軟

2010-11-16 12:38:11

2011-07-30 13:12:50

2010-06-21 17:46:53

2013-08-26 10:23:47

2016-09-28 15:32:24

2017-12-07 23:12:57

2021-03-08 16:59:55

數(shù)據(jù)安全勒索病毒攻擊

2021-03-12 09:47:52

數(shù)據(jù)管理

2015-01-26 18:01:26

數(shù)據(jù)庫(kù)安全信息泄露

2011-12-30 14:35:20

2018-09-10 22:25:14

2010-11-15 09:49:21

Chrome擴(kuò)展安全

2020-08-06 08:58:51

網(wǎng)絡(luò)安全疫情技術(shù)

2012-04-13 13:18:35

2015-04-01 10:55:55

2024-01-03 14:39:10

2013-04-01 09:03:50

IT大數(shù)據(jù)IBM

2013-05-13 14:16:43

2014-08-27 16:24:05

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)