王佳冬中文博客

东华大学的教务处系统（选课系统）爆出漏洞已经不是什么新鲜事，但今天鄙人发现的漏洞就比较离谱了，可以越过权限查看学生个人成绩，有点侵犯他人隐私的味道，身为被侵害对象中的一员，我希望东华大学教务处在看到此文之后赶紧做出调整。

首先本人要声明的是，我没有使用任何的黑客手段，只是偶然发现了漏洞而已；其次，短片《5021》中的教务处系统是仿造的，如与下文内容雷同，纯属巧合。

今天无聊，所以就上选课系统随便逛逛（也只能怪它没有提供rss，害得我要上它网站），惊奇地发现在侧边栏多了一项叫做“学生个人成绩单”的功能，我就点了进去，但这个URL怎么看怎么像未通过加密直接调用数据库的，而调用的key便是学生的学号，换句话说，只要知道学生的学号，就能知道该学生整个大学期间的所有成绩。

（为了避免某些人利用此手段非法侵犯他人隐私，部分URL我隐藏或遮掉了）

之后的测试证实了我的猜想，dhu的选课系统确实爆出了新的漏洞。

之前该系统就曾爆出无数的漏洞，比如可越权通过班级序号查看整个班级的成绩（至今未修复），而这次爆出的漏洞更为离谱：不但可以越权通过学号查看他人成绩，同时还可以获取该学生姓名、专业、班级、学院等，不但如此，还可以通过排列组合获取同班、同专业其他同学的个人成绩和信息，我所担心的是，这些东西极有可能被别有用心的人利用。

本文旨在揭发dhu选课系统的漏洞，督促dhu教务处尽快改进系统。如本文与你的利益有冲突，请及时与本人联系。

转载请注明 [ 王佳冬中文博客 ]    本文链接 [ 东华大学教务处系统爆新BUG：可越过权限查看成绩 ]

你可能喜欢的博文：

• 青春纪念册——我的大学四年 (4)
• 谈女大学生被包养 (3)
• 给未来的自己 (3)
• 汗洒十大歌手 (1)
• 新的学期 (0)