我能查看任意同学的成绩

最近, 我在上小学期的《网络安防》课, 于是突然想对自助注册、成绩单和在学证明打印机(以下简称自助机)进行研究。与jinzihao研究后有如下成果, 均可以在有校园网的情况下轻松复现:

  1. 自助机系统本质上由几个web页面和一套前端读写学生卡系统组成, web页面均可以被校园网内任意主机访问。这是下面研究的大前提。
  2. 随机同学的成绩单查看: 我们发现在访问打印成绩单预览页面的同时会生成预览PDF(成绩打码)和最终打印PDF(成绩显示), 这两个PDF的URL是根据自助成绩单打印机IP拼接出的固定值。并且, 服务器对这两个PDF的访问没有权限控制, 也就是说校园网内任意主机都可以访问。这就实现了查看随机同学(事实上是当时正在打印成绩单的同学)的成绩单。
  3. 随机同学的在学证明查看: 原理同上, 只不过固定URL为另一个格式。
  4. 自助机登录页面IP限制绕过: 自助机子系统有IP地址限制, 可用经典的X-Forwarded-For方法来绕过。基于此, 可以在校园网任意地方登录自助机。
  5. 读卡绕过、任意用户免密码登录: 经研究, 读卡、验证卡以及验证密码是在自助机前端进行, 后端服务器只使用学号作为登录参数。这样就轻松实现任意用户免密码登录。
  6. 任意同学的成绩单查看: 利用5. 登录后访问一下打印成绩单预览页面, 然后利用2. 即可获得该生成绩单。
  7. 任意同学的在学证明查看: 同上。

此外, 还有一个免登录下载任意同学学生卡头像的办法。

至此, 就可以查看任意同学的成绩单、学生卡头像和身份证号等信息了, 唯一需要知道的信息就是该生的学号。

以上发现以及没有披露的更详细的信息已提交给学校有关部门。

2018年7月14日 17:13:10更新: 现已临时封堵。

发表评论

注意 - 你可以用以下 HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

:wink: :twisted: :roll: :oops: :mrgreen: :lol: :idea: :evil: :cry: :arrow: :?: :-| :-x :-o :-P :-D :-? :) :( :!: 8-O 8)

本文链接:https://twd2.me/archives/10863QrCode