技术宅的结界

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
查看: 142|回复: 6
收起左侧

学校安全教育平台网站的漏洞

[复制链接]

3

主题

12

帖子

218

积分

用户组: 中·技术宅

UID
5148
精华
0
威望
13 点
宅币
155 个
贡献
25 次
宅之契约
0 份
在线时间
8 小时
注册时间
2019-7-17
发表于 2020-5-1 14:27:26 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有帐号?立即注册→加入我们

x
本帖最后由 戈登走過去 于 2020-5-1 14:36 编辑

学校安全教育平台 https://www.xueanquan.com/  

有一个活动里的功能,叫下载全班完成情况。
结果没有加限制,可以任意下载任何班级的完成情况。
从而获得盗取别人班级的全部姓名。
下载链接为  
[Bash shell] 纯文本查看 复制代码
https://huodongapi.xueanquan.com/p/省份拼音/Topic/topic/platformapi/api/v1/holiday/statistics-download?schoolYear=2020&semester=1&areaId=班级编号&areaType=Class&nowPage=1&pageSize=20&isPage=true&isKindergarten=true&cityName=undefined

只要把链接里的省份拼音和班级编号填上就可以下载了。
下载过来为 excel 文件

班级编号可以从这里获得:  https://www.xueanquan.com/Main/PasswordBack.aspx


这样,经过搜集和整理,可以下载到这个网站全部学生的姓名
并且这个网站貌似不对单一IP有访问频率限制

回复

使用道具 举报

1

主题

20

帖子

167

积分

用户组: 小·技术宅

UID
5449
精华
0
威望
6 点
宅币
135 个
贡献
0 次
宅之契约
0 份
在线时间
23 小时
注册时间
2019-12-13
发表于 2020-5-1 17:29:33 | 显示全部楼层
这个漏洞貌似没啥用…

1

主题

34

帖子

285

积分

用户组: 中·技术宅

UID
2054
精华
0
威望
17 点
宅币
197 个
贡献
20 次
宅之契约
0 份
在线时间
24 小时
注册时间
2016-11-10
发表于 2020-5-13 04:50:35 | 显示全部楼层
德小SHUO 发表于 2020-5-1 17:29
这个漏洞貌似没啥用…

当裤子用啊,不过就是没太多敏感信息

1

主题

57

帖子

201

积分

用户组: 中·技术宅

UID
4683
精华
0
威望
0 点
宅币
144 个
贡献
0 次
宅之契约
0 份
在线时间
25 小时
注册时间
2019-2-11
发表于 2020-5-13 19:41:30 | 显示全部楼层
似乎已经不能用了,还想看看能不能查到弟弟的班级信息。
不过真是讽刺啊,号称安全教育网站,居然放出了这么一个漏洞。

1

主题

57

帖子

201

积分

用户组: 中·技术宅

UID
4683
精华
0
威望
0 点
宅币
144 个
贡献
0 次
宅之契约
0 份
在线时间
25 小时
注册时间
2019-2-11
发表于 2020-5-13 19:44:09 | 显示全部楼层
大能猫 发表于 2020-5-13 04:50
当裤子用啊,不过就是没太多敏感信息

有一个大胆的假设,如果被一些培训机构,教育机构,补课班之类的拿到这些呢? 虽然说到被电信诈骗倒不怎么至于,但隐私还是要保管好的,否则肯定会给生活带来一大堆麻烦。

1

主题

34

帖子

285

积分

用户组: 中·技术宅

UID
2054
精华
0
威望
17 点
宅币
197 个
贡献
20 次
宅之契约
0 份
在线时间
24 小时
注册时间
2016-11-10
发表于 2020-5-14 00:08:11 | 显示全部楼层
Ink_Hin_fifteen 发表于 2020-5-13 19:44
有一个大胆的假设,如果被一些培训机构,教育机构,补课班之类的拿到这些呢? 虽然说到被电信诈骗倒不怎 ...

首先emmm。。。安全教育网站可能是指消防安全交通安全之类的,没太大关系
然后培训机构之类的拿信息肯定是从一些渠道商买的,这些渠道商应该是从各方搜集的信息,信息提供方其实可能是各大网站甚至银行之类的(我觉得很多人应该也不是第一次听说注册银行卡或者一些网站的时候他们会偷偷卖掉你的信息吧)。当然像这种教育网站泄露是一部分,但是应该比较少流入市场或者要洗白一下再流入,因为脱这种裤子是违法的

1

主题

20

帖子

167

积分

用户组: 小·技术宅

UID
5449
精华
0
威望
6 点
宅币
135 个
贡献
0 次
宅之契约
0 份
在线时间
23 小时
注册时间
2019-12-13
发表于 2020-5-16 07:13:28 | 显示全部楼层
Ink_Hin_fifteen 发表于 2020-5-13 19:44
有一个大胆的假设,如果被一些培训机构,教育机构,补课班之类的拿到这些呢? 虽然说到被电信诈骗倒不怎 ...

原来如此!懂了懂了

本版积分规则

QQ|申请友链||Archiver|手机版|小黑屋|技术宅的结界 ( 滇ICP备16008837号 )|网站地图  

GMT+8, 2020-6-4 18:47 , Processed in 0.101437 second(s), 27 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表