啰嗦几句
这篇文章很早就写了,然后之前提交给盒子在审核就没发出来,敏感部位打码了,上次测过应该是修复了。
复现
1.首先点进域名就会让你登录,点击验证码登录,输入学号,此时点击获取验证码,会提示该学号没有绑定手机号,并自动跳转到绑定手机号的页面。
image.png
2.点进绑定页面,同样的,未做任何验证是否为本人的操作,只要输入手机号,接收到验证码,就可以绑定成功。
image.png
3.绑定成功后竟然自动跳转到登录成功的页面,此时身份已经是该学生
image.png
4.我点击了首页的学生请假,自动跳转了如下页面
image.png
image.png
4.点进我的信息,基本信息,发现包括家庭地址,身份证号在内的敏感信息泄露
image.png
5.我是拿自己的学号测试的,所以基本的结论就是,只要知道该学校学号的命名规则,那所有的学生信息都泄露了。
修复方式建议:
对前台绑定验证码那里做严格的限制,要严格审核申请绑定是不是学生,或者直接在后台帮学生绑定。
