<noframes id="xtrzx">
      <form id="xtrzx"></form>

                數據安全警示:大學數據安全不可忽視-墨者安全-墨者盾
                DDOS防御_CC防護_高防CDN服務器_【墨者安全】—墨者盾墨者盾—你的網站貼身保鏢!
                QQ:800185041
                高防免費接入:400-0797-119

                渠道合作:156 2527 6999

                主頁 > DDOS防御 > 數據安全警示:大學數據安全不可忽視

                數據安全警示:大學數據安全不可忽視

                小墨安全管家 2018-10-20 09:41 DDOS防御 89 ℃
                DDoS防御
                數據安全警示:大學數據安全不可忽視

                外網拿到學生數據最容易的地方是哪里?當然是教務處學生登錄的地方,大學學生登錄教務處大部分是外網登錄,也有一些是內網登錄。

                背景介紹

                最近黑產肆行,正好前往朋友大學游玩于是測試了一下學校的學生數據安全,希望給大家一個警示,重視內網安全,重視學生數據安全。

                外網測試

                外網拿到學生數據最容易的地方是哪里?當然是教務處學生登錄的地方,大學學生登錄教務處大部分是外網登錄,也有一些是內網登錄。視情況而定。關于內網,由于情況復雜,所以等下我們具體分析。還是讓我們談談內網,首先通過搜索引擎找到A大學的教務處官網

                分析了整個網站,未發現有常見漏洞, 隨后我們找到了學生用戶入口,試了一下post注入。用戶名我們填123,密碼就填456123%27

                 

                警示:大學數據安全不可忽視

                 

                很明顯的報錯,也許到這里這篇文章就結束了。貌似可以利用,可是在后面的測試發現,無論如何注入都不行。如果真能注入也不會有下面的內網測試了。

                內網測試

                朋友讓我去食堂吃飯。食堂里,啃著漢堡,看著來往的妹紙,心情大好。額。。。那是什么玩意兒?食堂那塊大機器是干嘛的?額,原來是一卡通終端,請原諒我第一次見到。就是這個機器:

                 

                警示:大學數據安全不可忽視

                 

                接下來來到我們的內網滲透部分,前面說道那個一卡通的大機器。它可以告訴我們飯卡里面余額是多少,所以一定與學生數據服務器連接在一起。在終端上如何跳出沙盒,這方面已經有了大量的資料,所以這里不再贅述。我做的很簡單,跳出沙盒,創建一個系統用戶,查看終端的IP:10.1.0.251,是內網,難道我們就沒辦法了?

                別忘記,學生寢室的網絡是可以訪問10.1.0.251的。這里上一張遠程連接圖。

                 

                警示:大學數據安全不可忽視

                 

                好了,接下來我們去找數據服務器的ip是多少, 在服務器終端文件里面翻了好久,終于找到一個敏感數據,

                 

                警示:大學數據安全不可忽視

                 

                于是本機訪問10.1.0.230/selfsearh

                 

                警示:大學數據安全不可忽視

                 

                當我看到這個地址的時候?NewsCode=247

                測試了一下,發現注入,讓我們直接用sqlmap跑一下,oracle數據庫。其實我們發現,還可以給學生飯卡隨意充錢。危害確實不小。

                上最后一張學生信息圖

                第一列是身份證號,第二列是學生姓名,第三列是學生學號

                就這樣我們通過很簡單的手法輕易達到了我們的測試效果,另外,我們不僅能得到學生信息,還能在這里面修改學生的一卡通信息,如充值飯卡。。。

                可能造成的危害

                1 學生信息泄漏

                2 學生一卡通賬戶金額修改

                存在問題

                1 終端沙盒跳出,就算不能創建用戶,也能夠瀏覽到大量敏感信息。

                2 網站程序存在sql注入,測試中發現,本文中的sql注入能夠跨褲查詢,危害更大,希望在這方面能夠做到權限限制。

                整改措施

                1 終端程序升級,防沙盒跳出

                2 網站程序修補漏洞 權限限制

                以上漏洞在大部分大學應該都存在,發這篇文章的目的也是希望學校重視學生數據安全,那樣,每年學生詐騙案件說不定也會少一點。

                最后,切勿嘗試利用以上漏洞做違法規的事。截至發稿日期,已經聯系管理員修補漏洞。


                DDoS防御

                當前位置:主頁 > DDOS防御 > 數據安全警示:大學數據安全不可忽視

                標簽列表
                DDoS防御
                網站分類
                X
                ?

                QQ客服

                400-0797-119

                安徽快三