漏洞详情

披露状态:

2014-10-20: 细节已通知厂商并且等待厂商处理中
2014-10-25: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

姓名,身份证号,学位证书号,毕业学校,毕业时间等等。。。记录很多,没敢细看。

详细说明:

https://wb.chsi.com.cn/apply/res.jsp?bmh=420498202
owasp top A4:不安全的直接对象引用
通过遍历bmh即可。
遍历规则:前面的五位可以是4201、4202、4203……
第六位尽可能大一些,从9开始倒序,应该是后注册的序号反而比较小。

漏洞证明:

QQ图片20141018171402.jpg

修复方案:

希望尽快修补吧。

标签: none

评论已关闭