V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
zonghua
V2EX  ›  互联网

为什么这个微信应用竟然能抓取到内网教务系统的数据,甚至还扬言掌握了 600 万学生的信用数据

  •  
  •   zonghua · 2015-12-30 13:14:42 +08:00 · 5735 次点击
    这是一个创建于 3230 天前的主题,其中的信息可能已经有所发展或是发生改变。

    避免 AD 的嫌疑,以下用“他”代表该微信应用。

    一些学校的教务系统是没有对外开放访问的,为什么他竟然能够抓取到数据?

    为了保证教务系统的安全,可以肯定的学校官方是没有去配合做端口映射让外网访问

    甚至于表示利用数据进行信用记录 http://company.chinaventure.com.cn/14/10/14302776121.shtml

    摘要

    李正强回忆当天与李总理的对话。当他介绍自己的项目是借助高校教务系统的数据,为大学生建立自己的信用记录时,李克强追问“是不是用了大数据”。李正强随后详细介绍了项目的实现原理,并说未来将发展互联网金融。李正强说,总理听了后很高兴。

    我暂时没有查看到他的用户协议,但是对于绝大部分用户,可能都没有详细去看用户协议,而页面上默许了协议,就等同于自己出卖了自己的信息。

    国内大部分是使用正方或者青果的教务系统,难道是利用系统的漏洞进行如此操作?

    第 1 条附言  ·  2015-12-30 16:19:56 +08:00

    内网的教务系统是怎么访问到的,竟然这么多漏洞。

    http://cn.bing.com/search?q=%E6%AD%A3%E6%96%B9%E6%95%99%E5%8A%A1%E7%B3%BB%E7%BB%9F+%E6%95%B0%E6%8D%AE%E5%BA%93

    • 正方教务管理系统数据库任意操作漏洞 | WooYun-2012 ...
    • 69 个高校正方教务管理系统数据库任意操作 | WooYun-2012 ...
    • 教务处关于正方系统因数据库迁移停用的通知
    第 2 条附言  ·  2015-12-31 21:14:25 +08:00
    好了,得到答案了。问了其他使用过的朋友,这个应用需要你在内网的电脑安装一个客户端并一直运行着保持联网。
    22 条回复    2015-12-30 21:58:34 +08:00
    frozenshadow
        1
    frozenshadow  
       2015-12-30 14:03:41 +08:00
    看起来这种微信公众号一般会有学校的支持, so,接口就很容易有。然后,数据拉到自己的服务器上……
    abelyao
        2
    abelyao  
       2015-12-30 14:09:00 +08:00
    有背景,或者和教育部有合作的呗…
    zonghua
        3
    zonghua  
    OP
       2015-12-30 14:44:28 +08:00
    @frozenshadow 啊,我可是费了好大心思,在学校网站的空间用 PHP 实现了代理访问。这个东西在微信校园首页有,不然我试一下。内网攻击,看他怎么拿到数据的。

    @abelyao 对阿,用户协议没看到,自己的信息就这么被利用了,学生档案有不少信息的。
    datocp
        4
    datocp  
       2015-12-30 14:49:26 +08:00
    有背景的吧,以前电大的教务系统好像就是高教还是什么组织统一实施的,然后上海地区要试验一些新功能,就将系统开发权限给了上海电大,下面的学校仍然是用得上海电大统一的数据库,只是各个学校有自己独立的教务系统和考务系统。
    zonghua
        5
    zonghua  
    OP
       2015-12-30 14:52:51 +08:00
    @datocp 是统一的数据库?正方教务系统?不过他还要学校同学的一个微信共众号去做管理员。
    datocp
        6
    datocp  
       2015-12-30 14:58:58 +08:00
    不是很清楚,以前学校用得就是基于 web 开发的教务和考务系统,当时添加新功能的时候电大还组织过一次新系统培训,所以应该是统一的数据库。
    est
        7
    est  
       2015-12-30 15:14:51 +08:00
    1. 不少学校教务系统是买的方正的
    2. 其他学校很多是让学生免费劳动力做的,一个毕业设计之类的课题就足够了
    3. 这家的数据 100% 是爬虫偷回来的。什么叫实名绑定,就是用你的教务处用户名和密码登陆。登录进去查一下分数看一下排课记录到 db 还不简单么。
    mzer0
        8
    mzer0  
       2015-12-30 15:14:54 +08:00
    来源很多. 我们学校的学生数据就曾公开过, 事情是这样的: 学校发现部分学生信息不准确, 于是把学生数据全部公开在网站上, 让学生自己去核对......
    mzer0
        9
    mzer0  
       2015-12-30 15:14:54 +08:00
    来源很多. 我们学校的学生数据就曾公开过, 事情是这样的: 学校发现部分学生信息不准确, 于是把学生数据全部公开在网站上, 让学生自己去核对......
    yeyeye
        10
    yeyeye  
       2015-12-30 15:15:51 +08:00   ❤️ 1
    “是不是用了大数据”


    哈哈哈哈!!!!
    zonghua
        11
    zonghua  
    OP
       2015-12-30 15:28:50 +08:00 via iPhone
    @est 主要是学校的教务系统是不对外网访问的。楼上说是统一的数据库我才了解到问题
    SeanChense
        12
    SeanChense  
       2015-12-30 16:29:48 +08:00
    @yeyeye 我看笑了,笑出了声。
    heian0224
        13
    heian0224  
       2015-12-30 17:30:18 +08:00 via Android
    意思是爬个教务系统都可以说大数据喽
    odirus
        14
    odirus  
       2015-12-30 17:37:00 +08:00
    一般都对外开放吧,一搜一大把,以前我们学校也用方正。
    jacy
        15
    jacy  
       2015-12-30 17:47:13 +08:00
    教务系统真的很多漏洞
    不过信用和教务数据有什么关联?
    learnshare
        16
    learnshare  
       2015-12-30 17:59:58 +08:00
    教务系统的 Bug 基本上都可以通过百度来学习,遍历下载学生照片的事情已经很低端了。
    feather12315
        17
    feather12315  
       2015-12-30 18:04:11 +08:00 via Android
    我们学校就是使用商业公众号,该公司 14 年 6 月成立, 11 月就被学校要求关注,不然没有体育成绩。要填写身份证号、学号、高考考点等等。
    wong2
        18
    wong2  
       2015-12-30 18:50:32 +08:00
    让用户自己输入用户名密码。前有武大助手、大学助手。
    watzds
        19
    watzds  
       2015-12-30 18:55:00 +08:00 via Android
    垃圾正方软件,在浙大搞起来的。浙大内网很多垃圾网站,安全?呵呵。
    浙大还有个人询问了漏洞,改了成绩,差点蒙混过关毕业。
    iyaozhen
        20
    iyaozhen  
       2015-12-30 21:13:53 +08:00
    因为我也爬过我们学校的教务系统(突然感觉教务系统好可怜,每届都有学生来艹),并且做了个微信号,这个我较深入的研究过。
    先说说课表怎么搞:
    方法 1 :写爬虫爬(需要学号、密码)。这个看似比较困难,但其实还好,因为搞定一个系统其它的都搞定了。
    方法 2 :人肉手工录入。这种对应那些教务系统比较封闭无法外网访问,或者是学校自己的系统。一般只能靠下线手工录入了,发点小礼品,大家就会屁颠屁颠的帮你录入。工作量不是太大,一般一个专业课都一样。
    方法 3 :教务系统的漏洞(正方,说的就是你)。这个上面大家已经说的很多了。不过这种渠道不稳定,而且越来越少了,教务系统也是会升级的。
    然后,成绩也是类似的方法,成绩有个更高的要求就是考完一科出一科。学生会不断的去查,这个请求量还是很大的。不过也有一些学校是之后统一出成绩,这种一般是靠手工录入(脚本导入)。

    然后再说这个事情:
    “ 1000 多所高校,积累了 600 多万大学生的信用数据” 水分太大了,还有现在是不是搞个什么事都要是大数据,还想“推行虚拟银行和信贷业务”,迟早药丸。

    最后:
    我是十分反对搞什么高校微信联盟,不要加入这些「传销」组织,只会让你的团队变得更傻逼,学不到什么东西,无法成长。当然这里并不是反对高校间的交流。
    iloveayu
        21
    iloveayu  
       2015-12-30 21:49:02 +08:00 via Android
    总理听了后很高兴,细思极恐…
    zonghua
        22
    zonghua  
    OP
       2015-12-30 21:57:25 +08:00 via iPhone
    @iyaozhen 这个东西在腾讯的首页上有展示,确实有这样的性质。我是在自己的路由器装了个 ngrok 然后可以从外网访问。
    @wong2 重点是一些学校的教务系统是在内网的,楼上说是多个学校统一的数据库。细思恐极。
    PublicID
        23
    PublicID  
       2015-12-30 21:58:34 +08:00
    萌小助
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2642 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 12:17 · PVG 20:17 · LAX 05:17 · JFK 08:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.