南宁学院教务系统绕过登录验证码登陆与平行权限信息泄露

一、绕过验证码登陆

教务系统登陆界面存在验证码登陆能有效增加攻击者枚举学生教务系统密码成本,但app接口并未作验证码验证且不记录错误次数,因此可以批量对同学们的教务密码进行枚举

1
http://jw.nnxy.cn/app.do?method=authUser&xh=学号&pwd=密码

登陆成功返回token
(登陆成功返回token)
因此利用如下信息泄露检验学号是否存在,并使用top100password(弱口令排行前100的密码)进行检测(共407条学号)。

共3名同学的密码为弱口令

二、平行权限信息泄露

通过app接口登陆成功后会返回token,利用该token可以查询学生部分信息。

enter description here
但利用该token不仅可以查询本人部分信息(姓名、院系、班级、考生号等),同时修改xh参数为其他同学的学号也可以进行查询。
因此尝试获取20160111001-20160116050之间的同学信息。

测试代码

共计爬取到407名同学的部分信息

附:

1
2
3
4
5
6
7
8
9
个人信息:http://jw.nnxy.cn/app.do?method=getUserInfo&xh=20160116045
课表查询:
http://jw.nnxy.cn/app.do?method=getKbcxAzc&xh=20160116045&xnxqid=2018-2019-1&zc=7
成绩查询:
http://jw.nnxy.cn/app.do?method=getCjcx&xh=20160116045&xnxqid=2017-2018-2
学生教评:http://jw.nnxy.cn/app.do?method=getPjpcList&xh=20160116045
学籍预警:
http://jw.nnxy.cn/app.do?method=getEarlyWarnInfo&xh=20160116045&history=1
考试查询:http://jw.nnxy.cn/app.do?method=getKscx&xh=20160116045

均未对身份进行验证。
声明:对测试时抓取到的学生信息及数据,本人并未在任何平台公开发布、贩卖。