大学数据安全需要注意的地方

背景介绍

最近黑产肆行，正好前往朋友大学游玩于是测试了一下学校的学生数据安全，希望给大家一个警示，重视内网安全，重视学生数据安全。

外网测试

外网拿到学生数据最容易的地方是哪里?当然是教务处学生登录的地方，大学学生登录教务处大部分是外网登录，也有一些是内网登录。视情况而定。关于内网，由于情况复杂，所以等下我们具体分析。还是让我们谈谈内网，首先通过搜索引擎找到A大学的教务处官网http://jwc.xxx.edu.cn/

分析了整个网站，未发现有常见漏洞， 随后我们找到了学生用户入口，试了一下post注入。用户名我们填123，密码就填456123%27

很明显的报错，也许到这里这篇文章就结束了。貌似可以利用，可是在后面的测试发现，无论如何注入都不行。如果真能注入也不会有下面的内网测试了。

内网测试

朋友让我去食堂吃饭。食堂里，啃着汉堡，看着来往的妹纸，心情大好。额。。。那是什么玩意儿?食堂那块大机器是干嘛的?额，原来是一卡通终端，请原谅我第一次见到。就是这个机器：

接下来来到我们的内网渗透部分，前面说道那个一卡通的大机器。它可以告诉我们饭卡里面余额是多少，所以一定与学生数据服务器连接在一起。在终端上如何跳出沙盒，这方面已经有了大量的资料，所以这里不再赘述。我做的很简单，跳出沙盒，创建一个系统用户，查看终端的IP：10.1.0.251，是内网，难道我们就没办法了?

别忘记，学生寝室的网络是可以访问10.1.0.251的。这里上一张远程连接图。

好了，接下来我们去找数据服务器的ip是多少， 在服务器终端文件里面翻了好久，终于找到一个敏感数据，

于是本机访问10.1.0.230/selfsearh

当我看到这个地址的时候http://10.1.0.230/selfsearch/Index_ShowNews.aspx?NewsCode=247

测试了一下，发现注入，让我们直接用sqlmap跑一下，oracle数据库。其实我们发现，还可以给学生饭卡随意充钱。危害确实不小。

上最后一张学生信息图

第一列是身份证号，第二列是学生姓名，第三列是学生学号

就这样我们通过很简单的手法轻易达到了我们的测试效果，另外，我们不仅能得到学生信息，还能在这里面修改学生的一卡通信息，如充值饭卡。。。

可能造成的危害

1 学生信息泄漏

2 学生一卡通账户金额修改

存在问题

1 终端沙盒跳出，就算不能创建用户，也能够浏览到大量敏感信息。

2 网站程序存在sql注入，测试中发现，本文中的sql注入能够跨裤查询，危害更大，希望在这方面能够做到权限限制。

整改措施

1 终端程序升级，防沙盒跳出

2 网站程序修补漏洞 权限限制

以上漏洞在大部分大学应该都存在，发这篇文章的目的也是希望学校重视学生数据安全，那样，每年学生诈骗案件说不定也会少一点。

最后，切勿尝试利用以上漏洞做违法规的事。截至发稿日期，已经联系管理员修补漏洞。