记edusrc一处信息泄露

发布时间:2024年01月16日

一、信息收集

在搜索某一学校的资产时,找到了一处学工系统。
?


登录进去,发现有两种登陆方式,一种是统一身份认证,一种是DB认证。
?


统一身份认证是需要通过学生的学号和密码进行登录的,利用谷歌语法可以搜索到相关学生的学号,尝试弱口令登录,发现有错误次数限制,故此方法不可行。
?


?


再尝试DB认证,这个时候就用到了月佬所说的用抖音来收集相关信息,定位到该学校的位置,搜索相关信息,也真的是运气好,还真被我翻到了。
?


拿着上面收集到的学号,尝试登录成功。

二、信息泄露

点击学生数据->基本信息,可以看到该生的相关信息,如身份证,手机号之类的。
?


再往下翻翻。可以看到辅导员的工号。
?


那就再尝试看看辅导员能否登录。果然,还是可以。
?


点击学生数据->基本信息,再以辅导员的身份登录,可以看到他所管理的所有班级信息。
?


?


?


切换到信息管理模块,可以看到所管理的所有学生的姓名,学号,身份证号。


随便找一个学生点击查看详情,可以看到父母信息和家庭住址相关信息。
?


泄露的非常严重啊。

免费领取安全学习资料包

渗透工具

技术文档、书籍

?

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

?

应急响应笔记

学习路线

文章来源:https://blog.csdn.net/hackzkaq/article/details/134593436
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。