快捷導(dǎo)航

某省高考志愿填報系統(tǒng)的漏洞實(shí)戰(zhàn)解說

更新時間：2007年01月16日 00:00:00 作者：

編按：教育系統(tǒng)高考……，網(wǎng)上填志愿方便了廣大考生，但是安全上的疏忽與漏洞也能增加很多不必要的麻煩，在此提醒教育工作者，安全第一。

某省今年高考志愿填報實(shí)行網(wǎng)上填報，在模擬填報演練時本說是全部實(shí)行在互聯(lián)網(wǎng)填報的，但因?yàn)檠菥殨r突然訪問量過大，導(dǎo)致網(wǎng)速N慢，甚至被正常的訪問弄得拒絕服務(wù)。我狂汗！后來上面考慮到這個問題就只在兩個市實(shí)行網(wǎng)上志愿填報，其他的由局域網(wǎng)填報后同意上報。在演練的時候我就不放心這個系統(tǒng)的安全性了，但當(dāng)時沒能找出什么漏洞。后來我聽說我處的市是兩個在互聯(lián)網(wǎng)填報的市之一，最近在填報過程中還真讓我發(fā)現(xiàn)了一點(diǎn)漏洞，再次狂汗！
  先說說這個系統(tǒng)的安全措施吧，經(jīng)我演練時的檢測，這個站的系統(tǒng)和腳本都做得很不錯，現(xiàn)在要找漏洞只能從其他方面入手了。這個系統(tǒng)在正式填報志愿前都要求填上準(zhǔn)考證號，報名號，身份證號，密碼和驗(yàn)證碼才能登錄（如圖1），登錄后必須改密碼才能開始填報，改過密碼后再次登錄只需輸入準(zhǔn)考證號和密碼，驗(yàn)證碼就能登錄了。如圖2是改過密碼登錄后的頁面。乍一看要填那么多資料好象已經(jīng)很安全了，其實(shí)不然。
  我們還是來看看他要求輸入的東西吧，其實(shí)最主要的是密碼一項(xiàng)（廢話）。我們且不說大家改動后的密碼很白癡的情況，我們先來看看他的原始密碼是怎么獲得的。原始密碼是由一張考試院統(tǒng)一免費(fèi)發(fā)放的志愿填報卡的卡號和密碼組成的，加起來有十幾位，要爆破不太可能。但我注意到，老師在發(fā)這張卡時是亂發(fā)的，并不是一一對應(yīng)的。那么同一個密碼是不是可以登錄多個帳戶呢？呵呵，我們試試不就知道咯。我在剛拿到卡后不久就登進(jìn)去改了密碼，正好我有一個同學(xué)的卡丟失了，正要到市招生辦解決，我就叫他試著用我的卡登錄，結(jié)果......居然成功了，汗~~~~~~~~~~~~~。這樣一來，我們不就有機(jī)可乘了？？
  也許有人會說我們怎么知道別人的準(zhǔn)考證號，報名號和身份證號，其實(shí)很簡單，我們的報名號是按班級和學(xué)號依次排列的，所以只要知道了別人的班級和學(xué)號再根據(jù)自己的報名號就可以推出別人的報名號了，而準(zhǔn)考證號又是根據(jù)報名號依次排列的，那么根據(jù)報名號就又可以推知別人的準(zhǔn)考證號了。至于身份證嗎，是由6位固定數(shù)字+出生年月日+4位數(shù)字（最后一位也可能是X）組成的。前面那6位我們是知道的，而出生年月日嗎，我們完全可以叫對方寫同學(xué)錄套出來，最后4位我們就可以通過軟件來批量測試了（我試過密碼錯誤N次都是可以登錄的），最麻煩的要數(shù)驗(yàn)證碼了，目前對這個我還只能用手去輸，但聽說還有技術(shù)是可以識別驗(yàn)證碼的，如果是真的，那就簡單很多了。
  想想，高考志愿填報是何等大事，如果真有人搞破壞那后過不就......當(dāng)然，如果一開始就改了別人的密碼別人只要帶相關(guān)材料到市招生辦就可以幫你改密碼了，大不了麻煩點(diǎn)，那填了志愿后去改別人密碼然后改掉他的志愿呢？他一定會在要求打印確認(rèn)是大吃一驚，但這時要改志愿可不是那么簡單的了，因?yàn)榘匆?guī)定經(jīng)打印后的志愿是禁止修改的了。那么怎么在別人填了志愿后去改他的密碼呢？要知道那時密碼可是他本人改過的了啊！
呵呵，我們前面不是說過密碼忘了可以帶相關(guān)材料到市招生辦改嗎？市招生辦是怎么改的呢？我記得演練是在志愿填報登錄頁面下方有一個管理連接，現(xiàn)在雖然不見了，但直接輸入URL還是可以訪問的哦（如圖3）！那么我們怎么得到管理員的用戶名和密碼呢？呵呵，其實(shí)我們可以假裝忘記密碼去招生辦就他改，這樣我們就可以得到他用的用戶名了（是看顯示屏上，我可沒那本事能記住他在鍵盤上打的是什么），下面就剩密碼了。我來到了本市招生辦的網(wǎng)站上逛了一下，發(fā)現(xiàn)系統(tǒng)和主頁都沒什么漏洞，還有一個是動網(wǎng)7.1的論壇。好象沒辦法了??！別急，我試著訪問了http://www.xxx.com/bbs/data/dvbbd7.mdb竟出現(xiàn)下載提示（如圖4），狂暈！在dv_log中我找到了admin的密碼，試著用這個密碼和我偷看到的用戶名登錄，居然成功了！！現(xiàn)在我已經(jīng)可以管理全市的考生檔案了啊！汗！不敢亂動，免得被抓，趕快退出閃人了！