望麓自卑—湖南大学最具潜力的校园传媒

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 2074|回复: 2

看湖大教务处对教学管理系统漏洞的回复(转)

[复制链接]
发表于 2005-7-19 17:07:20 | 显示全部楼层 |阅读模式
(转发)看湖大教务处对教学管理系统漏洞的回复
漏洞一:只要知道对方学号就可以看他照片了,竟然连个简单的加密程序都没有。
http://jwxt.hnu.cn/ImgXs/200XXXXXXXX.jpg
============================================================================
教务处答复:我们现在已经对程序进行了改进,增加了一个专门显示照片的程序,防止盗链照片。



漏洞二:如果不知道其他人的学号也没事,系统竟然又留了个很方便的“学号查询功能”
先进入自己帐号,点右上角第一个圆形按纽,跳出短消息窗口,点“撰写”,再点“选择”,选中“学生”,设置一下“院系”、“专业”,但不要填“接收人”,点“查找”,相关学院相关专业的全部学生名单以及对应的学号的列表就出来了。这样,全校学生的学号都被你掌握了。
============================================================================
教务处答复:我们对“查找”的对象进行了限制,同时去掉了学号的显示。



漏洞三:知道学号后不仅能看照片,连别人的详细资料(学籍卡片)都能看到,无论他再怎么改密码也没用,方法如下。
先进入自己的帐号
再开一个窗口,输入http://jwxt.hnu.cn/jwxs/Xsxk/Xj_CdX...?XH=200XXXXXXXX
于是什么都出现了,包括姓名、身份证号码、家庭住址、家庭状况(这个今后校方会帮你填上),密码形同虚设。
还有一件恐怖的事情,人家可以随便在你资料上留下“到此一游”的字样。(仅限红色星号部分)
============================================================================
教务处答复:我们已经对程序进行了修改,现在已经不可能这样了。


漏洞四:跟图书馆的管理系统一样,先到者先得帐号,反正密码帐号都一样,自己的帐号被别人控制确实是件痛苦的事,这个漏洞大家都清楚。
============================================================================
教务处答复:截止到我发贴为止,系统已经有15857位学生修改了密码,也就是说基本上所有的在校学生都已经修改了自己的密码。这点是我们的失误,同时也给我们自己带来了很多不必要的工作量。

借此机会声明:本系统对所有的登陆都会记录IP地址,请擅自修改他人密码的同学注意了,如果由此引起了严重的后果,我们会追究其责任


最后,我们非常感谢来自“台州”的这位作者找到我们系统的漏洞,就象那位网友说的“一个系统刚推出必定存在缺陷”,连微软都不能逃过打补丁的噩梦,只要我们积极的对待我们的漏洞,接受大家对系统的考验,不断地改进系统,我们的系统肯定会越来越完善的。

希望大家继续关注我们的系统,提出您的宝贵意见,让我们的系统更好的为我们的教学服务。

2005.07.12

                                                                转自爱晚
发表于 2005-7-19 17:11:12 | 显示全部楼层
最后4个字比较碍眼
 楼主| 发表于 2005-7-19 20:49:19 | 显示全部楼层
8 能怪我,实事求是。偶从来就不排斥爱晚,末办法啊。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

关闭

每日推荐上一条 /1 下一条

小黑屋|手机版|湖南大学望麓自卑校园传媒 ( 湘ICP备14014987号 )

GMT+8, 2024-11-24 23:22 , Processed in 0.109764 second(s), 21 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表