为什么这个微信应用竟然能抓取到内网教务系统的数据,甚至还扬言掌握了 600 万学生的信用数据

2015-12-30 13:14:42 +08:00
 zonghua

避免 AD 的嫌疑,以下用“他”代表该微信应用。

一些学校的教务系统是没有对外开放访问的,为什么他竟然能够抓取到数据?

为了保证教务系统的安全,可以肯定的学校官方是没有去配合做端口映射让外网访问

甚至于表示利用数据进行信用记录 http://company.chinaventure.com.cn/14/10/14302776121.shtml

摘要

李正强回忆当天与李总理的对话。当他介绍自己的项目是借助高校教务系统的数据,为大学生建立自己的信用记录时,李克强追问“是不是用了大数据”。李正强随后详细介绍了项目的实现原理,并说未来将发展互联网金融。李正强说,总理听了后很高兴。

我暂时没有查看到他的用户协议,但是对于绝大部分用户,可能都没有详细去看用户协议,而页面上默许了协议,就等同于自己出卖了自己的信息。

国内大部分是使用正方或者青果的教务系统,难道是利用系统的漏洞进行如此操作?

5761 次点击
所在节点    互联网
22 条回复
frozenshadow
2015-12-30 14:03:41 +08:00
看起来这种微信公众号一般会有学校的支持, so,接口就很容易有。然后,数据拉到自己的服务器上……
abelyao
2015-12-30 14:09:00 +08:00
有背景,或者和教育部有合作的呗…
zonghua
2015-12-30 14:44:28 +08:00
@frozenshadow 啊,我可是费了好大心思,在学校网站的空间用 PHP 实现了代理访问。这个东西在微信校园首页有,不然我试一下。内网攻击,看他怎么拿到数据的。

@abelyao 对阿,用户协议没看到,自己的信息就这么被利用了,学生档案有不少信息的。
datocp
2015-12-30 14:49:26 +08:00
有背景的吧,以前电大的教务系统好像就是高教还是什么组织统一实施的,然后上海地区要试验一些新功能,就将系统开发权限给了上海电大,下面的学校仍然是用得上海电大统一的数据库,只是各个学校有自己独立的教务系统和考务系统。
zonghua
2015-12-30 14:52:51 +08:00
@datocp 是统一的数据库?正方教务系统?不过他还要学校同学的一个微信共众号去做管理员。
datocp
2015-12-30 14:58:58 +08:00
不是很清楚,以前学校用得就是基于 web 开发的教务和考务系统,当时添加新功能的时候电大还组织过一次新系统培训,所以应该是统一的数据库。
est
2015-12-30 15:14:51 +08:00
1. 不少学校教务系统是买的方正的
2. 其他学校很多是让学生免费劳动力做的,一个毕业设计之类的课题就足够了
3. 这家的数据 100% 是爬虫偷回来的。什么叫实名绑定,就是用你的教务处用户名和密码登陆。登录进去查一下分数看一下排课记录到 db 还不简单么。
mzer0
2015-12-30 15:14:54 +08:00
来源很多. 我们学校的学生数据就曾公开过, 事情是这样的: 学校发现部分学生信息不准确, 于是把学生数据全部公开在网站上, 让学生自己去核对......
mzer0
2015-12-30 15:14:54 +08:00
来源很多. 我们学校的学生数据就曾公开过, 事情是这样的: 学校发现部分学生信息不准确, 于是把学生数据全部公开在网站上, 让学生自己去核对......
yeyeye
2015-12-30 15:15:51 +08:00
“是不是用了大数据”


哈哈哈哈!!!!
zonghua
2015-12-30 15:28:50 +08:00
@est 主要是学校的教务系统是不对外网访问的。楼上说是统一的数据库我才了解到问题
SeanChense
2015-12-30 16:29:48 +08:00
@yeyeye 我看笑了,笑出了声。
heian0224
2015-12-30 17:30:18 +08:00
意思是爬个教务系统都可以说大数据喽
odirus
2015-12-30 17:37:00 +08:00
一般都对外开放吧,一搜一大把,以前我们学校也用方正。
jacy
2015-12-30 17:47:13 +08:00
教务系统真的很多漏洞
不过信用和教务数据有什么关联?
learnshare
2015-12-30 17:59:58 +08:00
教务系统的 Bug 基本上都可以通过百度来学习,遍历下载学生照片的事情已经很低端了。
feather12315
2015-12-30 18:04:11 +08:00
我们学校就是使用商业公众号,该公司 14 年 6 月成立, 11 月就被学校要求关注,不然没有体育成绩。要填写身份证号、学号、高考考点等等。
wong2
2015-12-30 18:50:32 +08:00
让用户自己输入用户名密码。前有武大助手、大学助手。
watzds
2015-12-30 18:55:00 +08:00
垃圾正方软件,在浙大搞起来的。浙大内网很多垃圾网站,安全?呵呵。
浙大还有个人询问了漏洞,改了成绩,差点蒙混过关毕业。
iyaozhen
2015-12-30 21:13:53 +08:00
因为我也爬过我们学校的教务系统(突然感觉教务系统好可怜,每届都有学生来艹),并且做了个微信号,这个我较深入的研究过。
先说说课表怎么搞:
方法 1 :写爬虫爬(需要学号、密码)。这个看似比较困难,但其实还好,因为搞定一个系统其它的都搞定了。
方法 2 :人肉手工录入。这种对应那些教务系统比较封闭无法外网访问,或者是学校自己的系统。一般只能靠下线手工录入了,发点小礼品,大家就会屁颠屁颠的帮你录入。工作量不是太大,一般一个专业课都一样。
方法 3 :教务系统的漏洞(正方,说的就是你)。这个上面大家已经说的很多了。不过这种渠道不稳定,而且越来越少了,教务系统也是会升级的。
然后,成绩也是类似的方法,成绩有个更高的要求就是考完一科出一科。学生会不断的去查,这个请求量还是很大的。不过也有一些学校是之后统一出成绩,这种一般是靠手工录入(脚本导入)。

然后再说这个事情:
“ 1000 多所高校,积累了 600 多万大学生的信用数据” 水分太大了,还有现在是不是搞个什么事都要是大数据,还想“推行虚拟银行和信贷业务”,迟早药丸。

最后:
我是十分反对搞什么高校微信联盟,不要加入这些「传销」组织,只会让你的团队变得更傻逼,学不到什么东西,无法成长。当然这里并不是反对高校间的交流。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/247164

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX