啰嗦幾句
這篇文章很早就寫了豹储,然后之前提交給盒子在審核就沒發(fā)出來,敏感部位打碼了撬即,上次測過應(yīng)該是修復(fù)了立磁。
復(fù)現(xiàn)
1.首先點(diǎn)進(jìn)域名就會讓你登錄,點(diǎn)擊驗證碼登錄剥槐,輸入學(xué)號唱歧,此時點(diǎn)擊獲取驗證碼,會提示該學(xué)號沒有綁定手機(jī)號,并自動跳轉(zhuǎn)到綁定手機(jī)號的頁面颅崩。
image.png
2.點(diǎn)進(jìn)綁定頁面几于,同樣的,未做任何驗證是否為本人的操作沿后,只要輸入手機(jī)號沿彭,接收到驗證碼,就可以綁定成功尖滚。
image.png
3.綁定成功后竟然自動跳轉(zhuǎn)到登錄成功的頁面喉刘,此時身份已經(jīng)是該學(xué)生
image.png
4.我點(diǎn)擊了首頁的學(xué)生請假,自動跳轉(zhuǎn)了如下頁面
image.png
image.png
4.點(diǎn)進(jìn)我的信息漆弄,基本信息睦裳,發(fā)現(xiàn)包括家庭地址,身份證號在內(nèi)的敏感信息泄露
image.png
5.我是拿自己的學(xué)號測試的撼唾,所以基本的結(jié)論就是廉邑,只要知道該學(xué)校學(xué)號的命名規(guī)則,那所有的學(xué)生信息都泄露了倒谷。
修復(fù)方式建議:
對前臺綁定驗證碼那里做嚴(yán)格的限制蛛蒙,要嚴(yán)格審核申請綁定是不是學(xué)生,或者直接在后臺幫學(xué)生綁定渤愁。
