山东大学继续教育学院网站存漏洞，不登录可访问万名学生准考证

近日，网友张信（化名）发帖爆料山东大学继续教育学院网站存在安全漏洞，可在未登录的情况下，查看该学院学生的准考证，包含姓名、身份证号等信息。

学生准考证。

对此，山东大学继续教育学院回复隐私护卫队称，已进行排查并修复漏洞。

帖子中，张信称帮朋友打印准考证时，在看到准考证的访问链接时“灵光一现”，察觉可以访问所有学生的准考证，进而查看其中包含的姓名、身份证号、考试科目和时间等信息。

张信发现，准考证的访问链接中有一个ID值，改变此ID值，“在230000-240000”范围内，都可以访问其他学生的准考证信息；值得注意的是，此操作并不需要登录账号。这意味着，“任何一个人可以查看任何一个学生的准考证。”张信在帖子中说。

“非常简单、常见但多少又有点影响的漏洞。”张信表示，之所以发帖，“只是想说明某些看起来很安全的系统可能已经千疮百孔。”

如张信所言，隐私护卫队发现，出现类似安全漏洞的情况并不少见。

去年8月，某社交类短信App，一经推出，该App就异常火爆，与此同时，它也丑闻不断，深陷涉黄、隐私泄露等问题中。

当时，有网友爆料称，注册该App时，用户ID依次递增，比如第一个注册者ID是1，第二个注册者ID是2，依此类推。当用户使用该App给通讯录中好友发送短信时，App会帮该用户生成一个“个人页面”，包含用户的ID、昵称、手机号等信息，在源代码中，这些信息处于明文状态。

该网友指出，将“个人页面”链接中的用户ID依次增加，就可以大批量查询、到处用户个人信息。

随后，App官方回复称对上述安全漏洞进行了紧急修复。

2015年初，某平台的红包也被曝存在类似漏洞，修改红包的ID就可打开其他任意用户的红包。

目前，张信的爆料贴已经删除。山东大学继续教育学院对隐私护卫队表示，已经进行了排查，目前漏洞已经修复。

这属于“业务逻辑上的漏洞”，知道创宇404安全实验室副总监隋刚对隐私护卫队说，开发时，程序员只考虑了功能实现，而在关键信息上的防护做得不够。

一位安全专家介绍说，网站设计时遵循用户权限分级和隔离，设定服务端对当前用户身份进行校验，限定不能查看别人信息，就能避免类似漏洞出现。（尤一炜 李慧琪）

声明：本文来自隐私护卫队，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。