- 首页 > 安全雇佣 > 正方教务系统漏洞 > 列表
- 张浩/漫画利用高校教务系统漏洞取得管理员权限,远程帮助在校学生修改考试成绩并收取酬劳,四川某高校大四毕业生自以为找到了一条生财之路,却因此葬送了自己的前程。近日, 2019-08-05
- 为了炫耀自己的能力,新疆维吾尔自治区乌鲁木齐市一所大学的大三学生蒋某从2013年10月至2014年3月,利用学校教务管理系统的漏洞,为该校18名学生篡改成绩,非法获利3.4万余 2019-08-05
- 对于很多大学生来说,挂科、旷课被记录是一件令人头疼的事情,严重的甚至会影响到毕业。现在,就有大学生利用这一点动起了歪脑筋。 2017-10-19
- 首先看看高校网络安全。 正方教务管理系统 目前被多所高校使用,方便了对学生 身份证号码、家庭住址 等等信息的管理。但在方便的同时,学生的这些 2017-10-19
- 上周二,位于南岸五公里的某大学官方微博,发布一条消息让学子们一片哗然!微博调侃称:学校出现了一位大神,能够修改教务系统上的成绩。不仅帮自己改,还收钱帮别人改。 2017-10-19
- 今天查成绩时,发现访问正方管理系统登录页面时,服务器会产生一个sessionid,并且通过url返回。例如我访问http://zf.xxx.com时,服务器跳转到http://zf.xxx.com/(dqsrik2stu2ogv55amzxx5ua)/Default2.aspx。这个时候我将这个url发给别人,只要别人登录了,例如登录后:http://zf.scetop.com/(dqsrik2stu2ogv55amzxx5ua)/xs_main.aspx?xh=1001100111,我们访问这个地址,就 2015-09-06
- web端在进行成绩录入时可以通过直接将动态页面从js_cjmm.aspx修改为xf_js_cjlr.aspx进行绕过,只要具有教师的登录权限,不需要验证成绩录入密码即可直接进入成绩的录入和提交页面。 2015-09-06
- 由于校园网内使用私有地址和静态分配地址的学校占多数,在选课期间搜集少数记录文件就能建立比较完整的学号-ip映射表,配合该系统的其他漏洞,对个人隐私的危害不可忽视。 2015-09-06
- 正方教务管理系统web端成绩录入可绕过密码验证录入补考成绩。 2015-09-06
- 方正教务系统使用了fckeditor编辑器,没有修改其默认上传接口,导致任意文件遍历问题,fckeditor为了方正系统根目录的fckeditor文件夹中,调用默认的connectors接口即可遍历文件,即访问 2015-09-06
- 网上查了下,有人发了个利用fckeditor getshell的漏洞,利用这个的还没见有人发,就发这吧。正方教务管理系统ftb.imagegallery.aspx可上传图片,但未对图片进行重命名,可利用ISS解析漏洞1.asp;.gif方式上传脚本木马。简单看了下,好多学校的学籍信息查询系统都受影响 2015-09-06
- 存在数据库任意操作漏洞,只需知道服务器IP,可执行任意数据库操作。因为全国1000多所高校都在使用该系统,该漏洞可以直接实现成绩修改,学生信息导出。故影响十分严重十分严重。 2015-09-06
- 杭州正方教务管理系统是国内用的比较多一个教务管理系统,自高校采用以来,成为诸多黑客产业链的平台,在百度里搜索可以找到很多修改正方教务管理系统成绩的帖子,由于学校成绩与学生未来挂钩,如果被恶意篡改可能会影响终身,做为白帽子要深知影响力,及时反映该问题。 2015-09-06
- 你还再为考试挂科而烦恼么,你还再为大学里怎么要妹子电话而纠结么,你想快速找到学校里的漂亮妹子么,那么请看下文 2015-09-06
- 根据C/S服务器端口211检测,并使用本人编写的杭州正方漏洞说明工具软件检测,以下69所高校IP均存在数据库任意操作漏洞 2015-09-06
粤公网安备 44060402001498号