这是一个创建于 4442 天前的主题,其中的信息可能已经有所发展或是发生改变。
这个app的流程是这样的
1.打开「超级课程表」,提示邮箱注册
2.提示输入 学号 和密码 (自己学校教务系统的)
3.然后就抓取到课程信息了
我的学校教务系统是
http://jwc.jnu.edu.cn/web/login.aspx
有几个问题
1.虽说我想没几个人会想着去拿这些学生账号密码干什么事情?可是这种要输入学号和密码的行为(看国内教务系统那蛋疼的架构,开放API的可能性大么?),难道密码是明文储存?
像我们学校系统,通过学号和密码,就能进入系统查看详细的个人信息(身份证,家庭地址,父母信息),这样还是有风险吧?
2.现在高校教务系统的漏洞多到什么程度?
 |
1
quake0day 2012-09-07 04:40:03 +08:00
1、有风险
2、不是很多 我以前也做过这个系统信息的抓取和解析 http://www.darlingtree.com/wordpress/archives/314 http://www.darlingtree.com/wordpress/archives/287 |
 |
2
dndx 2012-09-07 05:04:19 +08:00
既然要了用户名和密码,应该就不是利用漏洞了吧,应该是模拟登录 + HTML分析得出的结果。
不过国内教务系统漏洞的确多的要死,越权访问一大堆,比如号称清华开发的某教务系统,只要登录进去(随便什么帐号都行)就能看到别人的课表甚至老师的课表,技术水平实在不敢恭维。 |
 |
3
koon_kai 2012-09-07 09:22:33 +08:00
这个应用是我学校的学生做的,具体也没去了解过。
|
 |
4
mew7wo 2012-09-07 12:13:01 +08:00
貌似大多数学校用的教务系统都是一样的,所以解析应该不难。
|
 |
5
humiaozuzu 2012-09-07 12:16:46 +08:00
就是模拟登录然后解析json的。。。 而且我也做了我们学校的web版 = =
|
 |
6
kojp 2012-09-07 17:38:18 +08:00
模拟登录 ~~~~ 但我没成功过。
|
 |
7
sophy 2012-09-07 23:03:12 +08:00
我写过我们学校的,查成绩用的
|
 |
8
Semon 2012-09-07 23:12:38 +08:00
为什么没人觉得是和各大高校谈好然后做接口的呢?
|
 |
9
fly2never 2012-09-08 01:37:33 +08:00
很多系统都是那个正方做的
|
|
10
humiaozuzu 2012-09-08 01:40:34 +08:00
@Semon 这个很明显不需要谈,fiddler抓包5分钟搞定。
|
|
11
Semon 2012-09-08 01:48:33 +08:00
@humiaozuzu 如果这样输入密码不就是个很傻并且会影响产品发展的事么?作者会那么笨么?
|
|
12
humiaozuzu 2012-09-08 01:54:33 +08:00  1
@Semon 这种第三方的都是可以保存用户密码的,而且没有办法。 而且大部分用户是不知道这些的。
|
 |
13
wcp1231 2013-03-16 13:57:37 +08:00
验证码也是直接识别的?
|
Select Language