Super Mouse某驾校使用的系统架构为Net平台与php平台,该平台效率高效一般被用于网上服务系统,但是该网站制作商在制作网络平台的时候貌似把程序员给打死了,忘记做安全防护了??
某驾校发布的考试内容信息已经泄露了该校学员的个人信息包含 身份证id与姓名,此问题严重影响了学员的隐私权,当hacker掌握了学员的身份证id信息后可通过http://218.58.52.102:83/Login.aspx页面登陆任何一位学员的网上预约系统,当学员没有更改网上预约系统密码的时候hacker可以使用学员的默认密码登陆。
示例图:
http://www.qdtianqiao.com/tq/tianqiaojiaxiao/fuwuxiangmu/jiakaozhishi/2013/0716/565.html
天桥驾校所泄露的学员个人信息当掌握个人id的时候我们可以通过天桥网上预约系统进行登陆。
天桥自助查询系统页面已经给出提示 初始密码为出生年月日,id为身份证号码
天桥自助查询系统页面已经给出提示 初始密码为出生年月日,id为身份证号码, 当掌握身份证号码的情况下,我们可以利用学员身份证号码进行登录,以张照辉的id为例我们登陆下。
bobo 我们登陆了天桥的自助查询系统,然后我们获得了用户的id信息。包含家庭住址,电话号码等信息。
试一试网上预约系统。
bobo 我们也进入了网上预约系统。
登入网上预约系统之后,我们可以操作任何一项项目,包括修改密码,网上预约等。
已经联系天桥驾校进行加密修改。至今未回复。
