近日,网友张信在山东大学继续教育学院网站上发布了一个安全漏洞,如果没有登录,可以看到该学院学生的准考证,其中包含姓名、身份证号码等信息。
学生考证。 对此,山东大学继续教育学院回应称,已对隐私护卫队进行排查,修复漏洞。
在帖子中,张信在帮朋友打印准考证时,看到准考证的访问链接时,表示“很有精神”,意识到所有学生都可以访问准考证,并查看了其中包含的姓名、身份证号码、考试科目和时间等信息。
张信发现准考证的访问链接中有ID值,需要注意的是,更改此ID值后,可以在“230000-240000”范围内访问其他学生的准考证信息,但此操作不需要登录帐户。 这是“任何人都可以看到任何学生的准考证。 ”。 小张在帖子中说。
“非常简单常见,但多少有些影响的洞。 ”据张说,投稿是“只是想说明看起来安全的系统可能已经漏洞百出”。
正如张信所说,隐私护卫队发现,出现类似安全漏洞的情况并不少见。
去年8月,一个社交消息APP上市后,其APP非常火爆。 与此同时,丑闻不断,陷入涉黄、隐私泄露等问题。
当时,有网友在注册该APP时,暴露出用户ID依次增加,例如第一登录者ID为1,第二登录者ID为2。 用户使用该APP向通讯录中的朋友发送邮件时,APP会生成包含用户ID、昵称、手机号码等信息的“个人主页”。 在源代码中,这些信息处于明文状态。
该网友表示,通过依次增加“个人页面”链接上的用户ID,可以大量查询用户个人信息。
随后,App官方回复称已紧急修复上述安全漏洞。
2015年初,某平台红包也曝光了类似漏洞,修改红包ID即可打开其他任意用户的红包。
目前,张信的帖子已被删除。 他说,山东大学继续教育学院已对隐私护卫队进行排查,目前漏洞正在修复。
这是一个“业务逻辑漏洞”,创宇404安全实验室副总导演隋刚对隐私护卫队表示,开发时,程序员只考虑功能实现,对重要信息防护不够。
有安全专家表示,网站按照用户权限进行排名和隔离,将客户端设置为验证当前用户身份,并限定为不可查看他人信息,可以避免类似漏洞。
文/南都个人信息保护研究中心研究员尤一为南都见习记者李慧琪
自考资料网:建议开通永久VIP超级会员更划算,除特殊资源外,全站所有资源永久免费下载
1. 本站所有网课课程资料来源于用户上传和网络收集,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,助力考生上岸!
3. 如果你想分享自己的经验或案例,可在后台编辑,经审核后发布在“自考资料网”,有下载币奖励哦!
4. 本站提供的课程资源,可能含有水印,介意者请勿下载!
5. 如有链接无法下载、失效或广告,请联系管理员处理(在线客服)!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 星光不问赶路人,岁月不负有心人,不忘初心,方得始终!
