对山东大学教务系统的一次入侵
问题文件:http://www.bkjx1.sdu.edu.cn/userfiles/20131126/46c01129-12f7-40d1-9075-682e280dde6a.doc
之前一直想着怎么登录教务系统.苦于用户名搞不定
然而,在这份文档里面暴露了:

然后:账号 013B01 密码 013B01 成功登录
再次重申
未导出任何数据
未对任何信息进行修改
未对外除wooyun外所有人泄露关于次漏洞的任何信息
拒绝查水表
漏洞证明:

-可查询全校老师学生的个人信息-
-更改论文成绩-
-你能想到的一切-
涉及较多的学校内部信息,故只放了一个截图
怎么修复你们懂-默认密码设成和邮箱密码一样吧
身份证号不安全-校园卡号和工资号一样不安全,不要被不法分子利用了
本文系作者个人观点,转载请注明出处!
上一篇:入侵清华大学数据中心