URP综合教务系统的bug

学校教务系统是购买的URP综合教务系统,该系统以各种不兼容(最高支持IE8/兼容性视图模式)和各种垃圾性能(同时在线人数限制值太低等)闻名。

登陆页面没有验证码,似乎对于尝试次数也没有任何限制,理论上对于暴力破解没有任何的限制。

学校对此显然不够重视,显然对于学生的信息安全的保护还毫不在意。

我们简单分析一下被破解出教务系统密码后,都能掌握那些个人信息:

  • 姓名
  • 身份证号(出生地、生日&more)
  • 性别
  • 信息照片一张
  • 政治面貌
  • 学院专业班级
  • 联系电话
  • 生源地
  • 通讯地址
  • 各项成绩
  • 选课信息
  • 课表

这仅仅是教务系统密码被攻破以后,可以直接获得的个人信息,还不考虑可能造成的信息篡改带来的任何风险。

试想一下,这些个人信息的泄露可以造成哪些后果?

个人信息之所以重要,是因为其唯一性和通常的不可变性。一个人的身份证号一旦泄露,就意味着会造成永久的损失。而身份证号这种信息的泄露很难进行取证,因此其泄露带来的影响更加恶劣。

以教务处的尿性,估计我毕业之前验证码都加不上,更不用提就算加上了对于OCR来说简单验证码根本不成问题。

BTW, comments are always appreciated:)