身為學校的學生,幫自己學校網站找問題也是滿合理的。
當年入學,每個人都被分發到一組帳號密碼用於學生資訊系統,不過帳號密碼卻非常的可怕。
帳號為學號,密碼則為身分證英文加上末五碼。
Brute Force Attack – 暴力攻擊法
學號在分班的檔案上已經完整的公佈了,而密碼的後四碼則是在另一則錄取的榜單上,用點簡單的迴圈就能夠得到完整的帳號密碼。
登入後,能夠看到學生的身分證字號、住址、電話以及家長的資訊。
cross site scripting – XSS
資訊系統中有個讓學生輸入自傳的地方,其程式碼為文字欄位<textarea>我是自傳</textarea>
若學生輸入的內容為 自傳</textarea> <惡意程式碼></惡意程式碼>
則程式碼會變成<textarea>自傳</textarea><惡意程式碼></惡意程式碼>
webshell
在資訊系統中有個照片上傳的網址,而上傳檔案的大小限制為2MB,檔案類型卻不受限制。
同時,網址為任何人都能夠連入的,就算是校外人士也能夠進入。
雖說不受限制,不過我實際嘗試上傳副檔名為php及html的shell時卻發現h會被刪去,因此則上傳一個asp的shell,成功進入。
進入後當然是先隨便摸索一下,權限仍是被限制住的狀況下做不了太多的事情,但還是發現了一個特別的檔案,打開來看裡面是資料庫的位置、帳號、密碼及資料庫名稱。
好奇心使我去看了一下其中一個資料庫的內容,全部導師的個人資料都在內,而密碼並未加密處理。
我通報了網管這件事,事情算是暫時解決了。
而學生資訊系統即將關閉,被新的系統所取代QQ。
總結一下這邊所遇到的問題
- 帳號密碼過於簡單、易猜測。
- 沒讓輸入的字串為純文字,而變成能輸入惡意程式碼。
- 資料庫的密碼為明文,並未加密處理。
- 上傳檔案的網址,人人都能進入。