四川某大学老师帐号和密码泄漏，可以任意更改成绩

基本字段

漏洞编号：: SSV-95369

披露/发现时间：: 2014-05-19

提交时间：: 2014-05-19

漏洞等级：

漏洞类别：: 其他类型

影响组件：: Kingosoft JWWLXT

漏洞作者：: 路人甲

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

http://wooyun.org/bugs/wooyun-2014-061425

漏洞详情

贡献者 Knownsec 共获得 0KB

### 简要描述：老师的密码是初始密码，未更改。 ### 详细说明：通过查询老师的工号，用初始密码123456即可登录，可随意更改成绩，危害极大。 google：inurl：/jwweb/ 有很多。 [<img src="https://images.seebug.org/upload/201405/1914190730c5299bebe59653b9ce933eb20c3740.jpg" alt="QQ图片20140519133509.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1914190730c5299bebe59653b9ce933eb20c3740.jpg) [<img src="https://images.seebug.org/upload/201405/191419240a892e13d75c0b0a802442388b287f7b.jpg" alt="QQ图片20140519133524.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191419240a892e13d75c0b0a802442388b287f7b.jpg) ### 漏洞证明：就拿我的学校来测试吧：http://jwc.scac.edu.cn/jwweb/ 通过课表查询老师的工号 [<img src="https://images.seebug.org/upload/201405/19142110cf6c8834047b472b62d4a8742f31f486.jpg" alt="QQ图片20140519133712.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19142110cf6c8834047b472b62d4a8742f31f486.jpg) [<img src="https://images.seebug.org/upload/201405/191421307f76a2c0cb86f28c4f5c2f974a246b84.jpg" alt="QQ图片20140519132353.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191421307f76a2c0cb86f28c4f5c2f974a246b84.jpg) [<img src="https://images.seebug.org/upload/201405/19142155e209bc8e9162f0db664e3659c892fa44.jpg" alt="QQ图片20140519132443.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19142155e209bc8e9162f0db664e3659c892fa44.jpg) 可以录入成绩 [<img src="https://images.seebug.org/upload/201405/191422216fa9d3a322fc01e2a73537d4f9f29245.jpg" alt="QQ图片20140519134126.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191422216fa9d3a322fc01e2a73537d4f9f29245.jpg) 查询任意老师的工号，通过查询教室课表 [<img src="https://images.seebug.org/upload/201405/19142340c95f8a211b02ee2687749067b04506e0.jpg" alt="QQ图片20140519134703.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19142340c95f8a211b02ee2687749067b04506e0.jpg) 昨晚尝试了十几个老师的工号，都登陆成功。 http://222.90.77.238/jwweb/ http://218.19.119.231/jwweb/ http://rz.wybu.cn/jwweb/ http://202.201.162.136/jwweb/ http://222.56.16.90/jwweb/ http://221.208.0.95/jwweb/ http://xuanke.shupl.edu.cn/jwweb/ http://jwgl.llhc.sx.cn/jwweb/ http://211.67.81.71/jwweb/ http://jwxt.asu.edu.cn/jwweb/ 等等，就不用列举了。

共 0 兑换了

PoC

暂无 PoC

参考链接

http://wooyun.org/bugs/wooyun-2014-061425

解决方案

临时解决方案

暂无临时解决方案

官方解决方案

暂无官方解决方案

防护方案

暂无防护方案

※本站提供的任何内容、代码与服务仅供学习，请勿用于非法用途，否则后果自负

四川某大学老师帐号和密码泄漏，可以任意更改成绩

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机现在绑定

暂无评论

四川某大学老师帐号和密码泄漏，可以任意更改成绩

基本字段

来源

漏洞详情

PoC

参考链接

解决方案

生命线

相关漏洞

评论前需绑定手机 现在绑定

暂无评论

您好，

您好，

评论前需绑定手机现在绑定