可随意入侵的70高校正方教务系统

漏洞详情

披露状态：

2014-08-01： 细节已通知厂商并且等待厂商处理中
2014-08-06： 厂商已经确认，细节仅向厂商公开
2014-08-16： 细节向核心白帽子及相关领域专家公开
2014-08-26： 细节向普通白帽子公开
2014-09-05： 细节向实习白帽子公开
2014-09-20： 细节向公众公开

简要描述：

如漏洞所描述，http://vm888.com/guyongheike/zhengfangjiaowuxitong/2015-09-06/4166.html ，提交69个有漏洞的教务管理系统，任意数据库操作。

详细说明：

根据C/S服务器端口211检测，并使用本人编写的杭州正方漏洞说明工具软件检测，以下69所高校ＩＰ均存在数据库任意操作漏洞

60.21.206.169 jwgl.gdut.edu.cn 218.198.176.91 jwxt.jit.edu.cn xfz.xaut.edu.cn 218.75.208.58 jw.tjrac.edu.cn 210.45.128.31 211.80.183.5 xk3.henu.edu.cn 58.193.0.26 xfz.xaut.edu.cn 202.201.106.24 jw.tlu.edu.cn jwxt.zttc.edu.cn jwglxt.buu.edu.cn jwc.njty.edu.cn jxgl.jsjzi.edu.cn jwgl.xjvu.edu.cn jwc.xust.edu.cn jw.gzhtcm.edu.cn jwxt.swun.edu.cn 211.82.16.106 202.200.144.63 202.203.31.97 202.116.160.167 210.44.128.152 210.38.111.227 202.200.112.200 jwgl.sias.edu.cn 202.194.250.254 210.44.159.3 210.44.159.2 jwgl.scce.edu.cn 202.199.155.2 61.180.31.37 218.196.207.8 116.236.150.101 218.9.77.221 210.45.98.13 222.30.226.20 202.116.160.166 219.159.198.146 211.103.139.211 219.245.6.246 210.44.159.6 222.19.168.156 219.159.199.85 202.121.31.23 218.107.191.119 210.36.200.6 wsxk.hbue.edu.cn 211.80.183.7 114.214.80.44 61.138.78.59 tas1.tjfsu.edu.cn 211.80.183.6 202.201.29.197 218.93.117.89 jwgl.fjzs.edu.cn 222.249.131.108 210.28.190.36 202.4.152.131 222.240.174.98 58.42.243.32 221.12.26.156 222.216.5.250 ce.jlu.edu.cn 61.180.31.37

漏洞证明：

修复方案：

由于Ｃ/S服务端使用的是Delphi的远程数据库组件，每台服务器的数据库连接认证应该修改，而不应该每个高校的服务器认证过程一样。

更多信息来自东方联盟网：http://www.vm888.com