自学内容网 自学内容网

记edusrc一处信息泄露

一、信息收集

在搜索某一学校的资产时,找到了一处学工系统。
 


登录进去,发现有两种登陆方式,一种是统一身份认证,一种是DB认证。
 


统一身份认证是需要通过学生的学号和密码进行登录的,利用谷歌语法可以搜索到相关学生的学号,尝试弱口令登录,发现有错误次数限制,故此方法不可行。
 


 


再尝试DB认证,这个时候就用到了月佬所说的用抖音来收集相关信息,定位到该学校的位置,搜索相关信息,也真的是运气好,还真被我翻到了。
 


拿着上面收集到的学号,尝试登录成功。

二、信息泄露

点击学生数据->基本信息,可以看到该生的相关信息,如身份证,手机号之类的。
 


再往下翻翻。可以看到辅导员的工号。
 


那就再尝试看看辅导员能否登录。果然,还是可以。
 


点击学生数据->基本信息,再以辅导员的身份登录,可以看到他所管理的所有班级信息。
 


 


 


切换到信息管理模块,可以看到所管理的所有学生的姓名,学号,身份证号。


随便找一个学生点击查看详情,可以看到父母信息和家庭住址相关信息。
 


泄露的非常严重啊。

免费领取安全学习资料包

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线


原文地址:https://blog.csdn.net/hackzkaq/article/details/134593436

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!