奇怪app「超级课程表」是怎么抓取高校教务系统的课程信息?

2012-09-07 03:35:05 +08:00
 foru17


这个app的流程是这样的
1.打开「超级课程表」,提示邮箱注册
2.提示输入 学号 和密码 (自己学校教务系统的)
3.然后就抓取到课程信息了
我的学校教务系统是
http://jwc.jnu.edu.cn/web/login.aspx

有几个问题
1.虽说我想没几个人会想着去拿这些学生账号密码干什么事情?可是这种要输入学号和密码的行为(看国内教务系统那蛋疼的架构,开放API的可能性大么?),难道密码是明文储存?
像我们学校系统,通过学号和密码,就能进入系统查看详细的个人信息(身份证,家庭地址,父母信息),这样还是有风险吧?
2.现在高校教务系统的漏洞多到什么程度?
13962 次点击
所在节点    问与答
13 条回复
quake0day
2012-09-07 04:40:03 +08:00
1、有风险
2、不是很多
我以前也做过这个系统信息的抓取和解析
http://www.darlingtree.com/wordpress/archives/314
http://www.darlingtree.com/wordpress/archives/287
dndx
2012-09-07 05:04:19 +08:00
既然要了用户名和密码,应该就不是利用漏洞了吧,应该是模拟登录 + HTML分析得出的结果。

不过国内教务系统漏洞的确多的要死,越权访问一大堆,比如号称清华开发的某教务系统,只要登录进去(随便什么帐号都行)就能看到别人的课表甚至老师的课表,技术水平实在不敢恭维。
koon_kai
2012-09-07 09:22:33 +08:00
这个应用是我学校的学生做的,具体也没去了解过。
mew7wo
2012-09-07 12:13:01 +08:00
貌似大多数学校用的教务系统都是一样的,所以解析应该不难。
humiaozuzu
2012-09-07 12:16:46 +08:00
就是模拟登录然后解析json的。。。 而且我也做了我们学校的web版 = =
kojp
2012-09-07 17:38:18 +08:00
模拟登录 ~~~~ 但我没成功过。
sophy
2012-09-07 23:03:12 +08:00
我写过我们学校的,查成绩用的
Semon
2012-09-07 23:12:38 +08:00
为什么没人觉得是和各大高校谈好然后做接口的呢?
fly2never
2012-09-08 01:37:33 +08:00
很多系统都是那个正方做的
humiaozuzu
2012-09-08 01:40:34 +08:00
@Semon 这个很明显不需要谈,fiddler抓包5分钟搞定。
Semon
2012-09-08 01:48:33 +08:00
@humiaozuzu 如果这样输入密码不就是个很傻并且会影响产品发展的事么?作者会那么笨么?
humiaozuzu
2012-09-08 01:54:33 +08:00
@Semon 这种第三方的都是可以保存用户密码的,而且没有办法。 而且大部分用户是不知道这些的。
wcp1231
2013-03-16 13:57:37 +08:00
验证码也是直接识别的?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/47114

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX