近日,网友张鑫发帖称,山东大学继续教育学院网站存在安全漏洞。不用登录就可以查询该校学生的准考证,包括姓名、身份证号等信息。
学生证。对此,山东大学继续教育学院回复隐私卫士称已调查并修复漏洞。
帖子中,张欣称,自己在帮朋友打印准考证时,看到准考证的访问链接时“灵光一闪”,意识到自己可以访问所有学生的准考证,然后查看姓名、身份证号、考试科目、时间等信息。
张鑫发现准考证的访问链接里有一个ID值。如果更改这个ID值,可以访问“230000-240000”范围内的其他同学的准考证信息;值得注意的是,该操作不需要登录帐户。这意味着,“任何人都可以查看任何学生的准考证。”张在帖子里说。
“非常简单、常见但有点影响力的漏洞。”张说,之所以发帖“只是为了表明一些看似安全的系统可能已经千疮百孔。”
正如张鑫所说,隐私卫士发现类似安全漏洞的情况并不少见。
去年8月,一款社交短信App一经推出,便异常火爆。同时丑闻缠身,深陷色情和隐私泄露。
当时有网友爆料,注册App时,用户ID依次增加。例如,第一个注册者ID是1,第二个注册者ID是2,依此类推。当用户使用App给通讯录中的朋友发短信时,App会帮助用户生成一个“个人页面”,里面包含用户的ID、昵称、手机号等信息。在源代码中,这些信息是纯文本的。
该网友指出,通过依次增加“个人页面”链接中的用户ID,可以大批量查询各地用户的个人信息。
随后,App官方回复称紧急修复了上述安全漏洞。
2015年初,某平台红包也被曝出类似漏洞。修改红包ID可以打开任何其他用户的红包。
目前,张欣的爆料帖已被删除。山东大学继续教育学院告诉隐私卫士,他们已经进行了调查,漏洞已经被修复。
这是“商业逻辑的漏洞”。我知道于闯404安全实验室副主任隋刚告诉隐私卫士,在开发过程中,程序员只考虑了功能的实现,没有对关键信息做足够的保护。
一位安全专家表示,网站设计遵循用户权限分类隔离,设置服务器验证当前用户身份,限制无法查看他人信息,这样可以避免类似漏洞。
文/南方个人信息保护研究中心研究员尤南都见习记者
自考资料网:建议开通永久VIP超级会员更划算,除特殊资源外,全站所有资源永久免费下载
1. 本站所有网课课程资料来源于用户上传和网络收集,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,助力考生上岸!
3. 如果你想分享自己的经验或案例,可在后台编辑,经审核后发布在“自考资料网”,有下载币奖励哦!
4. 本站提供的课程资源,可能含有水印,介意者请勿下载!
5. 如有链接无法下载、失效或广告,请联系管理员处理(在线客服)!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 星光不问赶路人,岁月不负有心人,不忘初心,方得始终!
