在校自己写了一个课程小程序,如何规避风险

176 天前
 yeibdyxdxs
今年一月的时候突发奇想逆向了学校的教务系统,遂发现了一个平行越权的漏洞,可以实现只需要学号,就能获取到该学号下的周课程,考试成绩,期末考试信息.然后我没想着报告漏洞,而是利用这个漏洞做了一款小程序出来,最开始只是方便我自己寝室使用,但最近学校官方的 app 跟系统崩溃了几天,导致我的小程序也宕机了一阵,结果学校的漏洞接口好了,但是它的登入鉴权没好,所以我的小程序利用漏洞率先恢复致使涌入了一大批用户.



**对此想问下各位大佬一些问题:**

1. 因为我临近大四,马上不在学校,马上成为校外人士,如果出现一些法律问题,可能没有校内学生那么好处理,是否要去联系学校做个备案
2. 但是我利用的教务系统漏洞,如果跟学校谈,学校修复了漏洞,我这个小程序也就马上死了,我又不想夭折的那么快
3. 或者说我可以把源码卖给学弟学妹??让我回本一下认证费服务器啥的可行吗
2087 次点击
所在节点    问与答
35 条回复
1351161572
176 天前
改成通过爬虫的方式获取课程信息好一点
yuzo555
176 天前
提供侵入、非法控制计算机信息系统程序、工具罪
非法获取计算机信息系统数据罪
你还想用这个赚钱那妥妥坐实了
yeibdyxdxs
176 天前
@1351161572 爬虫没有漏洞获取的快啊,还得要用户提供教务系统密码,学校两套教务系统,用爬虫的话得先去第一套拿到 token ,再去第二套拿信息,我现在能直接用学号去第二套获取信息
yeibdyxdxs
176 天前
@yuzo555 从最开始交了 300 认证费到现在每个月服务器 20 块,也没想着回本了,浅当成一个项目经历吧,就是最近用户量激增让我不得不考虑一下风险了
1351161572
176 天前
@yeibdyxdxs 超级课程表什么的都是爬的,应该风险小点
doommm
176 天前
我感觉很刑
Kiriya
176 天前
如果和导师熟的话申请个课题申请合法接口,并且把服务器及认证费用结一下然后把小程序上交给学校
xxxccc
176 天前
这种事情我干过,利用漏洞爬了全校学生的成绩信息,然后做了一个小程序用于班级绩点排名。
然后把这个玩了一段时间没啥意思,就上报漏洞跑路了。
yeibdyxdxs
176 天前
@d9e7381f 这个功能好像我也可以做做
serafin
176 天前
不不不。这不是漏洞。学校系统有个 API 通过学号(无需鉴权)就可以获取周课程,考试成绩,期末考试信息。你只是给这个 API ,写了个 UI 而已。 你就一口咬定没有利用漏洞,这就规避了风险 90% 的风险了。
xiadengmaX1
176 天前
@serafin 这是你说了算的吗
KevinDo2
176 天前
你写个免责声明,说所有数据皆为人工导入,可能存在错误,不承担任何责任。
whoosy
176 天前
你是在玩火
XueXianqi
176 天前
刑啊你小子,可狱不可囚啊,非常可铐!
ma836323493
176 天前
查数据,又不是改数据,怕迪奥
proxytoworld
176 天前
卖漏洞利用你这不进去都难了,你要么就再找一个提权的漏洞,这样可以提一个 src ,要么就扔那吧,把小程序关了。
proxytoworld
176 天前
我以前在学校的时候发现学校 WiFi 登出只需要传一个 ip 参数,写了个脚本遍历 c 段,把全校都搞登出网络,玩了两次,然后在宽带群看他们说没网了,感觉也没啥意思,就把漏洞交给了老师
proxytoworld
176 天前
@1351161572 如果服务器 down 了,找背锅的也能抓
xxxccc
176 天前
@yeibdyxdxs 建议别搞,成绩这个东西还是比较敏感的。话说这个事情你也无法盈利,接口被封是迟早的事情,没法做到长期运营。
crz
176 天前
1. 你从这个事上得利了吗,比如收费什么的
2. 别人因为这个事损失了吗,比如收费,比如预期会导致麻烦,比如被吐嘈面子上不好看。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1045186

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX