看湖大教务处对教学管理系统漏洞的回复（转）

鸡虱门子

(转发)看湖大教务处对教学管理系统漏洞的回复
漏洞一：只要知道对方学号就可以看他照片了，竟然连个简单的加密程序都没有。
http://jwxt.hnu.cn/ImgXs/200XXXXXXXX.jpg
============================================================================
教务处答复：我们现在已经对程序进行了改进，增加了一个专门显示照片的程序，防止盗链照片。



漏洞二：如果不知道其他人的学号也没事，系统竟然又留了个很方便的“学号查询功能”
先进入自己帐号，点右上角第一个圆形按纽，跳出短消息窗口，点“撰写”，再点“选择”，选中“学生”，设置一下“院系”、“专业”，但不要填“接收人”，点“查找”，相关学院相关专业的全部学生名单以及对应的学号的列表就出来了。这样，全校学生的学号都被你掌握了。
============================================================================
教务处答复：我们对“查找”的对象进行了限制，同时去掉了学号的显示。



漏洞三：知道学号后不仅能看照片，连别人的详细资料（学籍卡片）都能看到，无论他再怎么改密码也没用，方法如下。
先进入自己的帐号
再开一个窗口，输入http://jwxt.hnu.cn/jwxs/Xsxk/Xj_CdX...?XH=200XXXXXXXX
于是什么都出现了，包括姓名、身份证号码、家庭住址、家庭状况（这个今后校方会帮你填上），密码形同虚设。
还有一件恐怖的事情，人家可以随便在你资料上留下“到此一游”的字样。（仅限红色星号部分）
============================================================================
教务处答复：我们已经对程序进行了修改，现在已经不可能这样了。


漏洞四：跟图书馆的管理系统一样，先到者先得帐号，反正密码帐号都一样，自己的帐号被别人控制确实是件痛苦的事，这个漏洞大家都清楚。
============================================================================
教务处答复：截止到我发贴为止，系统已经有15857位学生修改了密码，也就是说基本上所有的在校学生都已经修改了自己的密码。这点是我们的失误，同时也给我们自己带来了很多不必要的工作量。

借此机会声明：本系统对所有的登陆都会记录IP地址，请擅自修改他人密码的同学注意了，如果由此引起了严重的后果，我们会追究其责任


最后，我们非常感谢来自“台州”的这位作者找到我们系统的漏洞，就象那位网友说的“一个系统刚推出必定存在缺陷”，连微软都不能逃过打补丁的噩梦，只要我们积极的对待我们的漏洞，接受大家对系统的考验，不断地改进系统，我们的系统肯定会越来越完善的。

希望大家继续关注我们的系统，提出您的宝贵意见，让我们的系统更好的为我们的教学服务。

2005.07.12

                                                                转自爱晚

一抹天蓝

最后4个字比较碍眼

鸡虱门子

8 能怪我，实事求是。偶从来就不排斥爱晚，末办法啊。