“补天”曝数百高校网站漏洞,学妹信息随便看,教育部民间求补丁
震惊!数百家高校有漏洞,学妹信息随便看,瞧瞧你母校中招没有……
好几天没有出稿子,本公到底在忙活啥?此间定有大阴谋。
实话实说,本公这几天专门去高校看妹子,并不是真正去高校溜达着看,那些俗不可耐的看妹子手段只能看到妹子黑丝高跟,本公真鄙视!本公这要看的还有一些妹子的隐秘信息哦。比如身高、体重、手机号码、身份证号之类的,有时候顺便看看妹子哪个科目学的不好,要挂,本公帮忙补习补习,那场景,不用描述都醉了。
图1:
言归正传,众位看官不要起哄,是不是以为本公当校长了?错!当黑客了?有道理。但是没那本事。不过在专家的帮助下,本公确实“偷窥”了不少学校的学生妹信息,不要怪本公,因为高校网站漏洞实在太多了,跟筛子差不多,高校师生信息经常被“裸奔”啊。校长啊,你可长点心吧。
众所周知,中国有很多网站漏洞响应平台,补天漏洞响应平台就是最大的一个,上万白帽子黑客在上面提交各种网站漏洞,白帽子是谁?就是遵纪守法的黑客,也可能是有贼心没贼胆的黑客。反正一个字,好人。此为割……
一个学号可以看上万信息
应本公要求,黑客向记者展示了一些高校的漏洞信息,在10月24日的北京师范大学的漏洞信息,乖乖,还真不少 ,随便找到一个学号,就能越权查询上万名学生和教职工的信息。姓名、学号、院系、曾用名、电话、身份信息、各学科学分、邮箱等等都一目了然,甚至 2006年入学的学生信息也被“挖出”。
本公甚至看到2015级艺术与传播学院舞蹈专业在职研究生王某的信息,软妹子哦,多才多艺,还会跳舞呢。她的编舞技法、舞蹈艺术结构的各个学科分数都让我看了个遍。
这个漏洞比较低级,不但学生可以查询其他学生还可以查询老师、教职工的信息,黑客还能越权为该生录入成绩,留给黑色产业使用。
北师大啊,当年高考,本公脑袋都削尖了,也没有挤进去,不知道能不能报一个,改改分数,合法考进去。
上海理工大学漏洞可致2万学生身份证泄漏、国防科技大学研究生招生信息网泄漏招生信息、同济大学医学院弱口令……,动不动就随便看,一度让我觉得这不是进了大学网站,而是进了信息菜市场啊,眼前走过那么多的学妹,我能随便看。幸亏本公定力强,只是看看而已,看看而已。
“最近大学网站的漏洞真是太多!几乎天天有白帽子提交。”补天漏洞平台的负责人也有些无可奈何,不管是清华北大浙大还是师专、职高,几乎没有不中招的。
图2:北师大的先不贴,贴个国防科技大的,没防住……
几百所学校漏成筛子
根据补天漏洞平台统计数据统计,从2014年4月到2015年10月,补天漏洞平台的高校漏洞2868个,涉及高校达到 339所,其中高危漏洞1936个,中危漏洞694个,低危漏洞238个,包括清华大学、浙江大学、同济大学、厦门大学这样的名校,也包括了一些职业教育学院,几乎所有类型的高校都“中招”。
网站漏洞也非常“可笑”,有的管理员直接将密码设置为12356,黑客轻易就能猜到。其他如SOL注入、越权等等不一而足。
为啥高校漏洞这么多?360攻防实验室负责人林伟说,高校除了有官网以外,还有院系网站,甚至还有各职能部门网站,一窝蜂往官网接,很多网站并不都是由安全工程师搭建,学生也有可能参与,安全意识不足,运营经验不足,有的网站安全人员流动快,后来的管理者根本不知道搭建者是谁,漏洞信息也无从得知。
还有一点,那就要赞扬正在看帖的大学生们了,你们技术高超 ,闲着没事,专门挖母校的漏洞。
更可怕的是,有的漏洞甚至多半年也没有修复,本公看到一所高校2014年9月被爆出的漏洞至今没有修复,信息是否泄漏也无从得知。
令人担忧的是,2014年,在被告知网站存在漏洞后,大部分院校无动于衷。2015年,修复漏洞的高校网站只有35个,仅186个漏洞被修复,90%以上的高校网站安全漏洞未被修复。
西安交通大学信息安全法律研究中心主任马民虎表示,除了有暴露隐私的风险,涉及敏感科研和军事项目的信息同样有可能会被泄露,领导要是知道了,“会很生气、后果很严重”。
图3:
教育部民间找“补丁”
实际上教育部高度重视高校信息安全工作,教育部在年初就提出要研究部直属高校的信息技术安全指导意见,并与公安部联合部署系统安全等级保护工作,建立部属单位网络安全通报机制,10月10日,中国高等教育学会教育信息化分会成立“网络信息安全工作组 ”,随后,教育部专门召开了高校信息安全管理负责人的培训班。
事实上,很多白帽子黑客在发现漏洞后,由于无法与教育部直接沟通,他们会将漏洞信息提供到补天漏洞响应平台、中国漏洞库等平台。近日,教育部在补天漏洞响应平台注册,白帽子提交漏洞信息后,平台可以第一时间向教育部通报。
“高校网站修复时间从几周甚至几个月,缩短到1到3天,有的漏洞做到了当天发现当天修复。”补天漏洞平台负责人介绍,教育部在补天注册后,起到了带头作用,几十个高校也扎堆来注册,某高校当天被发现漏洞,补天平台当天推送,第二天被修复,最大程度避免了信息泄漏。
校长们,你们可长点心吧……
贴出“冰山一角”有漏洞的高校来,你学校中招没 ……
补天漏洞响应平台编号学校名称漏洞情况
105143 清华大学 清华大学经济管理学院某分站Struts2老洞一枚
105153 四川师范大学 高校之四川师范大学某系统漏洞(一)
105181 重庆大学 【edu双倍】重庆大学某站存在漏洞/getShell/三站沦陷/拿下服务器
105191 四川师范大学 四川师范大学某系统漏洞(四)6处打包
105246 西南民族大学 西南民族大学某站点存在多处sql注入和未授权访问可导致大量敏感信息泄漏
105326 太原理工大学 太原理工大学就业综合管理系统就业管理系统注入
105373 重庆邮电大学 重庆邮电大学某分站备份数据库泄露
105571 成都大学 成都大学某分站源码泄露,可获取到数据库中大量学生信息
105676 汕头大学 汕头大学某处存在漏洞导致20+网站沦陷/内网数据库漫游/getShell/1.5万+毕业生信息/3万简历/近4万全在校师生信息泄露//每个寝室的寝室长/充卡记录/团委信息/奖学金事宜/全校资产信息/图书馆订书信息/
105737 浙江师范大学 浙江师范大学某处存在严重漏洞导致getshell
105787 北京师范大学 全校老师学生信息泄漏(身份证号/手机/邮箱/专业)
105809 厦门大学 厦门大学招生办公室存在漏洞,泄露内部数据库
105815 太原理工大学 太原理工大学某处存在漏洞(本年度8千学生信息泄露)
105818 东北大学 东北大学某站存在漏洞打包三处(泄露1万+姓名,专业,邮箱,身份证号,密码等信息)
105844 上海师范大学 某站存在漏洞三处打包(1万5千学生信息泄露/身份证号/手机号/家庭住址/邮箱/身高)
105925 浙江大学 浙江大学某分站配置不当泄漏各种信息
105956 西南交通大学 西南交通大学某系统漏洞造成全校6万多学生信息泄露
105958 内蒙古科技大学 某处存在漏洞四处打包/往届生2万7档案信息泄露/应届毕业生6千身份证等详细信息泄露
106138 重庆大学 重庆大学某站存在漏洞两处(91万交易记录/6万6千多学生姓名/身份证号/手机号/家庭住址/学号/获奖/信息泄露)
106477 浙江大学 浙江大学多枚注入点打包,涉及十几个数据库
下期预告:网络诈骗产业链15个工种曝光,看看你倒在哪个环节……