近些天来,潜心学习,由于学校的网络无法登入外网,只能登入内网的 [博学谷] 系统.

    出于一个业余性辅助工具的开发者的思想,当然不会走平常路,在一次尝试性截取POST包分析的时候,Send一个POST包居然返回了很多的个人身份信息!这简直是逻辑性错误好嘛!!   输入一个学员的手机号,你就能返回这么多信息! 详细到一个人的QQ号,邮箱,学历,学生学籍创建时间,学科信息,姓名....甚至是学校!! 

    此逻辑错误简直是有些打脸呐!简直是低级漏洞!想想看,比方说你在按了某户人家的门铃,他就是不开门,但是把他家每个月房租,花销,WIFI密码,都告诉你了!

    也许你不感到惊讶,就这些有什么了不起的,可是就怕那些有心人啊!,你家的WIFI告诉别人没什么,可是你要是告诉我,松松的拿下你上网记录,详细到你都上过哪些网站,丝毫不费功夫的查看当前的WiFi都有哪些QQ在线..甚至拦截你当前访问的网站然后转向一个我规定的网址!

    这个漏洞虽说查不到登陆密码,但是! 好多都是默认密码123456的好嘛!

    很多的院校班级(包括我们班),嫌学生多,登入信息操作麻烦,都是先采集学生信息,然后批量导入到系统里,密码都是统一的123456,一般学生也不会去主动修改默认密码 .

    初次查获此漏洞时以为只是我们这边出了问题,没曾想,一扫描全国各地 十来个学科的信息全都有!

    这漏洞要是被不法分子拿到,估摸着又是一新的玩法,把学生的信息做成表格,打印出来,拉个外包,挨个打电话给这些人,学历,学校,学科,甚至付费状态都一览无余.这些不都是做推广需要的玩意么?高针对性,黄金客户群高成功率!

   这还没完,利用此逻辑错误Get的信息,遍历账号,拿来撞库,肯定是有几率撞出来的,要知道,博学谷上的商业视频可都是非卖品最低的也是价值约13K+!

  什么? 你问我知道一个人的手机号有毛用?不是还是鸡肋?

哦,呵呵

如何批量拿搜集数据,以增大撞库的成功率?

作为一个Coder,你还在格格不入的手动测试账号是否存在!?

上面我说过了,拿权限是要来套商业视频的,一切拿着权限不干坏事的Technology Boy都是在 耍流氓!

只是一时半会还没能开发出全自动或一条龙式的拿视频方法,但是这不代表需要完全手动!

----作为一名受害者,谁希望自己的信息在互联网上光着腚跑

2017/04/16 RICK