大學資料安全需要注意的地方

General 更新 2024年12月26日

  背景介紹

  最近黑產肆行,正好前往朋友大學遊玩於是測試了一下學校的學生資料安全,希望給大家一個警示,重視內網安全,重視學生資料安全。

  外網測試

  外網拿到學生資料最容易的地方是哪裡?當然是教務處學生登入的地方,大學學生登入教務處大部分是外網登入,也有一些是內網登入。視情況而定。關於內網,由於情況複雜,所以等下我們具體分析。還是讓我們談談內網,首先通過搜尋引擎找到A大學的教務處官網

  分析了整個網站,未發現有常見漏洞, 隨後我們找到了學生使用者,試了一下post注入。使用者名稱我們填123,密碼就填456123%27

  很明顯的報錯,也許到這裡這篇文章就結束了。貌似可以利用,可是在後面的測試發現,無論如何注入都不行。如果真能注入也不會有下面的內網測試了。

  內網測試

  朋友讓我去食堂吃飯。食堂裡,啃著漢堡,看著來往的妹紙,心情大好。額。。。那是什麼玩意兒?食堂那塊大機器是幹嘛的?額,原來是一卡通終端,請原諒我第一次見到。就是這個機器:

  接下來來到我們的內網滲透部分,前面說道那個一卡通的大機器。它可以告訴我們飯卡里面餘額是多少,所以一定與學生資料伺服器連線在一起。在終端上如何跳出沙盒,這方面已經有了大量的資料,所以這裡不再贅述。我做的很簡單,跳出沙盒,建立一個系統使用者,檢視終端的IP:10.1.0.251,是內網,難道我們就沒辦法了?

  別忘記,學生寢室的網路是可以訪問10.1.0.251的。這裡上一張遠端連線圖。

  好了,接下來我們去找資料伺服器的ip是多少, 在伺服器終端檔案裡面翻了好久,終於找到一個敏感資料,

  於是本機訪問10.1.0.230/selfsearh

  當我看到這個地址的時候

  測試了一下,發現注入,讓我們直接用sqlmap跑一下,oracle資料庫。其實我們發現,還可以給學生飯卡隨意充錢。危害確實不小。

  上最後一張學生資訊圖

  第一列是身份證號,第二列是學生姓名,第三列是學生學號

  就這樣我們通過很簡單的手法輕易達到了我們的測試效果,另外,我們不僅能得到學生資訊,還能在這裡面修改學生的一卡通訊息,如充值飯卡。。。

  可能造成的危害

  1 學生資訊洩漏

  2 學生一卡通賬戶金額修改

  存在問題

  1 終端沙盒跳出,就算不能建立使用者,也能夠瀏覽到大量敏感資訊。

  2 網站程式存在sql注入,測試中發現,本文中的sql注入能夠跨褲查詢,危害更大,希望在這方面能夠做到許可權限制。

  整改措施

  1 終端程序升級,防沙盒跳出

  2 網站程式修補漏洞 許可權限制

  以上漏洞在大部分大學應該都存在,發這篇文章的目的也是希望學校重視學生資料安全,那樣,每年學生詐騙案件說不定也會少一點。

  最後,切勿嘗試利用以上漏洞做違法規的事。截至發稿日期,已經聯絡管理員修補漏洞。

當代計算機網路安全的論文
需要注意的雲安全錯誤
相關知識
大學資料安全需要注意的地方
中小企業的資料庫安全需要注意的地方
無線網路安全需要注意的地方
小學生校園安全需要注意的事項
無線網路安全需要注意哪些方面
陽光體育之運動安全需要注意的問題
火車消防安全需要注意的問題
初學古箏需要注意的地方
秋季在飲食方面需要注意的地方
洗車的時候有哪些需要注意的地方