避免 AD 的嫌疑,以下用“他”代表该微信应用。
一些学校的教务系统是没有对外开放访问的,为什么他竟然能够抓取到数据?
为了保证教务系统的安全,可以肯定的学校官方是没有去配合做端口映射让外网访问
甚至于表示利用数据进行信用记录 http://company.chinaventure.com.cn/14/10/14302776121.shtml
摘要
李正强回忆当天与李总理的对话。当他介绍自己的项目是借助高校教务系统的数据,为大学生建立自己的信用记录时,李克强追问“是不是用了大数据”。李正强随后详细介绍了项目的实现原理,并说未来将发展互联网金融。李正强说,总理听了后很高兴。
我暂时没有查看到他的用户协议,但是对于绝大部分用户,可能都没有详细去看用户协议,而页面上默许了协议,就等同于自己出卖了自己的信息。
国内大部分是使用正方或者青果的教务系统,难道是利用系统的漏洞进行如此操作?
内网的教务系统是怎么访问到的,竟然这么多漏洞。
1
frozenshadow 2015-12-30 14:03:41 +08:00
看起来这种微信公众号一般会有学校的支持, so,接口就很容易有。然后,数据拉到自己的服务器上……
|
2
abelyao 2015-12-30 14:09:00 +08:00
有背景,或者和教育部有合作的呗…
|
3
zonghua OP @frozenshadow 啊,我可是费了好大心思,在学校网站的空间用 PHP 实现了代理访问。这个东西在微信校园首页有,不然我试一下。内网攻击,看他怎么拿到数据的。
@abelyao 对阿,用户协议没看到,自己的信息就这么被利用了,学生档案有不少信息的。 |
4
datocp 2015-12-30 14:49:26 +08:00
有背景的吧,以前电大的教务系统好像就是高教还是什么组织统一实施的,然后上海地区要试验一些新功能,就将系统开发权限给了上海电大,下面的学校仍然是用得上海电大统一的数据库,只是各个学校有自己独立的教务系统和考务系统。
|
6
datocp 2015-12-30 14:58:58 +08:00
不是很清楚,以前学校用得就是基于 web 开发的教务和考务系统,当时添加新功能的时候电大还组织过一次新系统培训,所以应该是统一的数据库。
|
7
est 2015-12-30 15:14:51 +08:00
1. 不少学校教务系统是买的方正的
2. 其他学校很多是让学生免费劳动力做的,一个毕业设计之类的课题就足够了 3. 这家的数据 100% 是爬虫偷回来的。什么叫实名绑定,就是用你的教务处用户名和密码登陆。登录进去查一下分数看一下排课记录到 db 还不简单么。 |
8
mzer0 2015-12-30 15:14:54 +08:00
来源很多. 我们学校的学生数据就曾公开过, 事情是这样的: 学校发现部分学生信息不准确, 于是把学生数据全部公开在网站上, 让学生自己去核对......
|
9
mzer0 2015-12-30 15:14:54 +08:00
来源很多. 我们学校的学生数据就曾公开过, 事情是这样的: 学校发现部分学生信息不准确, 于是把学生数据全部公开在网站上, 让学生自己去核对......
|
10
yeyeye 2015-12-30 15:15:51 +08:00 1
“是不是用了大数据”
哈哈哈哈!!!! |
12
SeanChense 2015-12-30 16:29:48 +08:00
@yeyeye 我看笑了,笑出了声。
|
13
heian0224 2015-12-30 17:30:18 +08:00 via Android
意思是爬个教务系统都可以说大数据喽
|
14
odirus 2015-12-30 17:37:00 +08:00
一般都对外开放吧,一搜一大把,以前我们学校也用方正。
|
15
jacy 2015-12-30 17:47:13 +08:00
教务系统真的很多漏洞
不过信用和教务数据有什么关联? |
16
learnshare 2015-12-30 17:59:58 +08:00
教务系统的 Bug 基本上都可以通过百度来学习,遍历下载学生照片的事情已经很低端了。
|
17
feather12315 2015-12-30 18:04:11 +08:00 via Android
我们学校就是使用商业公众号,该公司 14 年 6 月成立, 11 月就被学校要求关注,不然没有体育成绩。要填写身份证号、学号、高考考点等等。
|
18
wong2 2015-12-30 18:50:32 +08:00
让用户自己输入用户名密码。前有武大助手、大学助手。
|
19
watzds 2015-12-30 18:55:00 +08:00 via Android
垃圾正方软件,在浙大搞起来的。浙大内网很多垃圾网站,安全?呵呵。
浙大还有个人询问了漏洞,改了成绩,差点蒙混过关毕业。 |
20
iyaozhen 2015-12-30 21:13:53 +08:00
因为我也爬过我们学校的教务系统(突然感觉教务系统好可怜,每届都有学生来艹),并且做了个微信号,这个我较深入的研究过。
先说说课表怎么搞: 方法 1 :写爬虫爬(需要学号、密码)。这个看似比较困难,但其实还好,因为搞定一个系统其它的都搞定了。 方法 2 :人肉手工录入。这种对应那些教务系统比较封闭无法外网访问,或者是学校自己的系统。一般只能靠下线手工录入了,发点小礼品,大家就会屁颠屁颠的帮你录入。工作量不是太大,一般一个专业课都一样。 方法 3 :教务系统的漏洞(正方,说的就是你)。这个上面大家已经说的很多了。不过这种渠道不稳定,而且越来越少了,教务系统也是会升级的。 然后,成绩也是类似的方法,成绩有个更高的要求就是考完一科出一科。学生会不断的去查,这个请求量还是很大的。不过也有一些学校是之后统一出成绩,这种一般是靠手工录入(脚本导入)。 然后再说这个事情: “ 1000 多所高校,积累了 600 多万大学生的信用数据” 水分太大了,还有现在是不是搞个什么事都要是大数据,还想“推行虚拟银行和信贷业务”,迟早药丸。 最后: 我是十分反对搞什么高校微信联盟,不要加入这些「传销」组织,只会让你的团队变得更傻逼,学不到什么东西,无法成长。当然这里并不是反对高校间的交流。 |
21
iloveayu 2015-12-30 21:49:02 +08:00 via Android
总理听了后很高兴,细思极恐…
|
22
zonghua OP |
23
PublicID 2015-12-30 21:58:34 +08:00
萌小助
|