为什么这个微信应用竟然能抓取到内网教务系统的数据,甚至还扬言掌握了 600 万学生的信用数据
zonghua · 2015-12-30 13:14:42 +08:00 · 5761 次点击这是一个创建于 3257 天前的主题,其中的信息可能已经有所发展或是发生改变。
避免 AD 的嫌疑,以下用“他”代表该微信应用。
一些学校的教务系统是没有对外开放访问的,为什么他竟然能够抓取到数据?
为了保证教务系统的安全,可以肯定的学校官方是没有去配合做端口映射让外网访问
甚至于表示利用数据进行信用记录 http://company.chinaventure.com.cn/14/10/14302776121.shtml
摘要
李正强回忆当天与李总理的对话。当他介绍自己的项目是借助高校教务系统的数据,为大学生建立自己的信用记录时,李克强追问“是不是用了大数据”。李正强随后详细介绍了项目的实现原理,并说未来将发展互联网金融。李正强说,总理听了后很高兴。
我暂时没有查看到他的用户协议,但是对于绝大部分用户,可能都没有详细去看用户协议,而页面上默许了协议,就等同于自己出卖了自己的信息。
国内大部分是使用正方或者青果的教务系统,难道是利用系统的漏洞进行如此操作?
第 1 条附言 · 2015-12-30 16:19:56 +08:00
内网的教务系统是怎么访问到的,竟然这么多漏洞。
- 正方教务管理系统数据库任意操作漏洞 | WooYun-2012 ...
- 69 个高校正方教务管理系统数据库任意操作 | WooYun-2012 ...
- 教务处关于正方系统因数据库迁移停用的通知
第 2 条附言 · 2015-12-31 21:14:25 +08:00
好了,得到答案了。问了其他使用过的朋友,这个应用需要你在内网的电脑安装一个客户端并一直运行着保持联网。
 |
1
frozenshadow 2015-12-30 14:03:41 +08:00
看起来这种微信公众号一般会有学校的支持, so,接口就很容易有。然后,数据拉到自己的服务器上……
|
 |
2
abelyao 2015-12-30 14:09:00 +08:00
有背景,或者和教育部有合作的呗…
|
 |
3
zonghua OP @frozenshadow 啊,我可是费了好大心思,在学校网站的空间用 PHP 实现了代理访问。这个东西在微信校园首页有,不然我试一下。内网攻击,看他怎么拿到数据的。
@abelyao 对阿,用户协议没看到,自己的信息就这么被利用了,学生档案有不少信息的。 |
 |
4
datocp 2015-12-30 14:49:26 +08:00
有背景的吧,以前电大的教务系统好像就是高教还是什么组织统一实施的,然后上海地区要试验一些新功能,就将系统开发权限给了上海电大,下面的学校仍然是用得上海电大统一的数据库,只是各个学校有自己独立的教务系统和考务系统。
|
|
6
datocp 2015-12-30 14:58:58 +08:00
不是很清楚,以前学校用得就是基于 web 开发的教务和考务系统,当时添加新功能的时候电大还组织过一次新系统培训,所以应该是统一的数据库。
|
 |
7
est 2015-12-30 15:14:51 +08:00
1. 不少学校教务系统是买的方正的
2. 其他学校很多是让学生免费劳动力做的,一个毕业设计之类的课题就足够了 3. 这家的数据 100% 是爬虫偷回来的。什么叫实名绑定,就是用你的教务处用户名和密码登陆。登录进去查一下分数看一下排课记录到 db 还不简单么。 |
 |
8
mzer0 2015-12-30 15:14:54 +08:00
来源很多. 我们学校的学生数据就曾公开过, 事情是这样的: 学校发现部分学生信息不准确, 于是把学生数据全部公开在网站上, 让学生自己去核对......
|
|
9
mzer0 2015-12-30 15:14:54 +08:00
来源很多. 我们学校的学生数据就曾公开过, 事情是这样的: 学校发现部分学生信息不准确, 于是把学生数据全部公开在网站上, 让学生自己去核对......
|
 |
10
yeyeye 2015-12-30 15:15:51 +08:00  1
“是不是用了大数据”
哈哈哈哈!!!! |
 |
12
SeanChense 2015-12-30 16:29:48 +08:00
@yeyeye 我看笑了,笑出了声。
|
 |
13
heian0224 2015-12-30 17:30:18 +08:00 via Android
意思是爬个教务系统都可以说大数据喽
|
 |
14
odirus 2015-12-30 17:37:00 +08:00
一般都对外开放吧,一搜一大把,以前我们学校也用方正。
|
 |
15
jacy 2015-12-30 17:47:13 +08:00
教务系统真的很多漏洞
不过信用和教务数据有什么关联? |
 |
16
learnshare 2015-12-30 17:59:58 +08:00
教务系统的 Bug 基本上都可以通过百度来学习,遍历下载学生照片的事情已经很低端了。
|
 |
17
feather12315 2015-12-30 18:04:11 +08:00 via Android
我们学校就是使用商业公众号,该公司 14 年 6 月成立, 11 月就被学校要求关注,不然没有体育成绩。要填写身份证号、学号、高考考点等等。
|
 |
18
wong2 2015-12-30 18:50:32 +08:00
让用户自己输入用户名密码。前有武大助手、大学助手。
|
 |
19
watzds 2015-12-30 18:55:00 +08:00 via Android
垃圾正方软件,在浙大搞起来的。浙大内网很多垃圾网站,安全?呵呵。
浙大还有个人询问了漏洞,改了成绩,差点蒙混过关毕业。 |
 |
20
iyaozhen 2015-12-30 21:13:53 +08:00
因为我也爬过我们学校的教务系统(突然感觉教务系统好可怜,每届都有学生来艹),并且做了个微信号,这个我较深入的研究过。
先说说课表怎么搞: 方法 1 :写爬虫爬(需要学号、密码)。这个看似比较困难,但其实还好,因为搞定一个系统其它的都搞定了。 方法 2 :人肉手工录入。这种对应那些教务系统比较封闭无法外网访问,或者是学校自己的系统。一般只能靠下线手工录入了,发点小礼品,大家就会屁颠屁颠的帮你录入。工作量不是太大,一般一个专业课都一样。 方法 3 :教务系统的漏洞(正方,说的就是你)。这个上面大家已经说的很多了。不过这种渠道不稳定,而且越来越少了,教务系统也是会升级的。 然后,成绩也是类似的方法,成绩有个更高的要求就是考完一科出一科。学生会不断的去查,这个请求量还是很大的。不过也有一些学校是之后统一出成绩,这种一般是靠手工录入(脚本导入)。 然后再说这个事情: “ 1000 多所高校,积累了 600 多万大学生的信用数据” 水分太大了,还有现在是不是搞个什么事都要是大数据,还想“推行虚拟银行和信贷业务”,迟早药丸。 最后: 我是十分反对搞什么高校微信联盟,不要加入这些「传销」组织,只会让你的团队变得更傻逼,学不到什么东西,无法成长。当然这里并不是反对高校间的交流。 |
 |
21
iloveayu 2015-12-30 21:49:02 +08:00 via Android
总理听了后很高兴,细思极恐…
|
|
22
zonghua OP |
 |
23
PublicID 2015-12-30 21:58:34 +08:00
萌小助
|
Select Language