记edusrc一处信息泄露

一、信息收集

在搜索某一学校的资产时，找到了一处学工系统。
?

登录进去，发现有两种登陆方式，一种是统一身份认证，一种是DB认证。
?

统一身份认证是需要通过学生的学号和密码进行登录的，利用谷歌语法可以搜索到相关学生的学号，尝试弱口令登录，发现有错误次数限制，故此方法不可行。
?

?

再尝试DB认证，这个时候就用到了月佬所说的用抖音来收集相关信息，定位到该学校的位置，搜索相关信息，也真的是运气好，还真被我翻到了。
?

拿着上面收集到的学号，尝试登录成功。

二、信息泄露

点击学生数据->基本信息，可以看到该生的相关信息，如身份证，手机号之类的。
?

再往下翻翻。可以看到辅导员的工号。
?

那就再尝试看看辅导员能否登录。果然，还是可以。
?

点击学生数据->基本信息，再以辅导员的身份登录，可以看到他所管理的所有班级信息。
?

?

?

切换到信息管理模块，可以看到所管理的所有学生的姓名，学号，身份证号。

随便找一个学生点击查看详情，可以看到父母信息和家庭住址相关信息。
?

泄露的非常严重啊。