日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
警示:大學(xué)數(shù)據(jù)安全不可忽視

背景介紹

創(chuàng)新互聯(lián)建站專注于鳳山企業(yè)網(wǎng)站建設(shè),自適應(yīng)網(wǎng)站建設(shè),成都做商城網(wǎng)站。鳳山網(wǎng)站建設(shè)公司,為鳳山等地區(qū)提供建站服務(wù)。全流程按需求定制網(wǎng)站,專業(yè)設(shè)計(jì),全程項(xiàng)目跟蹤,創(chuàng)新互聯(lián)建站專業(yè)和態(tài)度為您提供的服務(wù)

最近黑產(chǎn)肆行,正好前往朋友大學(xué)游玩于是測(cè)試了一下學(xué)校的學(xué)生數(shù)據(jù)安全,希望給大家一個(gè)警示,重視內(nèi)網(wǎng)安全,重視學(xué)生數(shù)據(jù)安全。

外網(wǎng)測(cè)試

外網(wǎng)拿到學(xué)生數(shù)據(jù)最容易的地方是哪里?當(dāng)然是教務(wù)處學(xué)生登錄的地方,大學(xué)學(xué)生登錄教務(wù)處大部分是外網(wǎng)登錄,也有一些是內(nèi)網(wǎng)登錄。視情況而定。關(guān)于內(nèi)網(wǎng),由于情況復(fù)雜,所以等下我們具體分析。還是讓我們談?wù)剝?nèi)網(wǎng),首先通過搜索引擎找到A大學(xué)的教務(wù)處官網(wǎng)http://jwc.xxx.edu.cn/

分析了整個(gè)網(wǎng)站,未發(fā)現(xiàn)有常見漏洞, 隨后我們找到了學(xué)生用戶入口,試了一下post注入。用戶名我們填123,密碼就填456123%27

很明顯的報(bào)錯(cuò),也許到這里這篇文章就結(jié)束了。貌似可以利用,可是在后面的測(cè)試發(fā)現(xiàn),無論如何注入都不行。如果真能注入也不會(huì)有下面的內(nèi)網(wǎng)測(cè)試了。

內(nèi)網(wǎng)測(cè)試

朋友讓我去食堂吃飯。食堂里,啃著漢堡,看著來往的妹紙,心情大好。額。。。那是什么玩意兒?食堂那塊大機(jī)器是干嘛的?額,原來是一卡通終端,請(qǐng)?jiān)徫业谝淮我姷?。就是這個(gè)機(jī)器:

接下來來到我們的內(nèi)網(wǎng)滲透部分,前面說道那個(gè)一卡通的大機(jī)器。它可以告訴我們飯卡里面余額是多少,所以一定與學(xué)生數(shù)據(jù)服務(wù)器連接在一起。在終端上如何跳出沙盒,這方面已經(jīng)有了大量的資料,所以這里不再贅述。我做的很簡(jiǎn)單,跳出沙盒,創(chuàng)建一個(gè)系統(tǒng)用戶,查看終端的IP:10.1.0.251,是內(nèi)網(wǎng),難道我們就沒辦法了?

別忘記,學(xué)生寢室的網(wǎng)絡(luò)是可以訪問10.1.0.251的。這里上一張遠(yuǎn)程連接圖。

好了,接下來我們?nèi)フ覕?shù)據(jù)服務(wù)器的ip是多少, 在服務(wù)器終端文件里面翻了好久,終于找到一個(gè)敏感數(shù)據(jù),

于是本機(jī)訪問10.1.0.230/selfsearh

當(dāng)我看到這個(gè)地址的時(shí)候http://10.1.0.230/selfsearch/Index_ShowNews.aspx?NewsCode=247

測(cè)試了一下,發(fā)現(xiàn)注入,讓我們直接用sqlmap跑一下,oracle數(shù)據(jù)庫。其實(shí)我們發(fā)現(xiàn),還可以給學(xué)生飯卡隨意充錢。危害確實(shí)不小。

上最后一張學(xué)生信息圖

第一列是身份證號(hào),第二列是學(xué)生姓名,第三列是學(xué)生學(xué)號(hào)

就這樣我們通過很簡(jiǎn)單的手法輕易達(dá)到了我們的測(cè)試效果,另外,我們不僅能得到學(xué)生信息,還能在這里面修改學(xué)生的一卡通信息,如充值飯卡。。。

可能造成的危害

1 學(xué)生信息泄漏

2 學(xué)生一卡通賬戶金額修改

存在問題

1 終端沙盒跳出,就算不能創(chuàng)建用戶,也能夠?yàn)g覽到大量敏感信息。

2 網(wǎng)站程序存在sql注入,測(cè)試中發(fā)現(xiàn),本文中的sql注入能夠跨褲查詢,危害更大,希望在這方面能夠做到權(quán)限限制。

整改措施

1 終端程序升級(jí),防沙盒跳出

2 網(wǎng)站程序修補(bǔ)漏洞 權(quán)限限制

以上漏洞在大部分大學(xué)應(yīng)該都存在,發(fā)這篇文章的目的也是希望學(xué)校重視學(xué)生數(shù)據(jù)安全,那樣,每年學(xué)生詐騙案件說不定也會(huì)少一點(diǎn)。

最后,切勿嘗試?yán)靡陨下┒醋鲞`法規(guī)的事。截至發(fā)稿日期,已經(jīng)聯(lián)系管理員修補(bǔ)漏洞。


分享文章:警示:大學(xué)數(shù)據(jù)安全不可忽視
文章來源:http://m.5511xx.com/article/coccppd.html