时间:2011-08-03 来源:都市女报 作者:
王某,山东××大学,身份证号:2102021989××××××××,家庭住址:大连市中山区……
8月1日,记者登录山东某高校网站,进入该校使用的正方教务管理软件,仅用一分钟时间,使用一点“小窍门”,就看到了学生王某的密码,再用其用 户名和密码重新进入,就能看到王某的上述信息。由于该系统的漏洞,即便王某更改密码和用户名,记者仍能通过简单的“小窍门”看到。王某上万名校友的信息, 也和他一样是透明的。
较早发现并将其在天涯社区曝光,是济南大学08级网络工程系学生梁志锋。而根据“正方”公开的资料,全国有上千所高校使用该软件。对此,山东省软件评测中心副主任韩庆良说,该软件的安全漏洞非常低级,存在严重的设计缺陷。
大学生有“小窍门”
咱有招 提前查成绩
20岁的小李是济南某高校的大二学生。他们学校使用了杭州正方软件股份有限公司设计的教务管理软件。
小李说,从入学开始,每名学生都得到一个用户名,并自己设置了密码。通过用户名登录该系统,可查询学校的公告以及个人考试成绩。学生的家庭住址、身份证号码、电话号码等其他信息,也保存在系统中。
大一上学期期末考试后,小李急切想知道自己的成绩。一位同学告诉她,通过一些小技巧,可以提前查询老师发布的成绩。在他们学校,这几乎是一个公开的秘密。
昨天,记者在网上查询发现,网上有很多有关正方教务管理软件存在漏洞的帖子。有些学生还悬赏积分,希望找到提前查询成绩的方法。
一位自称是广东某大学正方教务管理系统的管理员,曾在2009年11月18日发帖称,“尽管经过反复修补,表面上各种功能、报表好像都有,其实几乎所有报表都得人工核对、不得不通过脚本直接修改底层数据,一直以来问题不断、解决无望、数据混乱、事故频繁。”
查信息改成绩?简单!
今年7月初,济南大学08级网络工程系学生梁志锋在寻找提前查询成绩的方法时,发现了该系统存在更大的安全漏洞,并在天涯社区上发帖披露。
几天前,记者见到了梁志锋。他向记者演示了查询其他学生信息的全过程。
梁志锋随机选取了一家使用该软件的济南高校的官方网站。选定该校教务处,再通过链接进入正方教务管理系统。登录页面有4种用户类别,分别为部门、教师、学生和访客。前三类需要使用用户名和密码登录,每种身份的权限不同。访客无需密码便可进入系统,但只能浏览公共信息。
他首先以访客的身份登录,又在网址上更改了几个字母后,便拥有了查询每名学生成绩的权限。他又更换了网址上的几个字母,便拥有了查询学生密码的 权限。使用该学生的用户名(学号)和密码,再重新登录,便可得到学生在校登记的全部信息。“如果再研究一下,甚至还能更改学生的成绩。”梁志锋说,该软件 存在很大的安全漏洞,隐患集中在以下几个方面:
第一,学生的个人信息没有安全保证,很容易被人查到。第二,一般人喜欢使用固定的密码,教务系统登录密码可能与自己的银行卡密码相同。不管是老师还是学校,有权限看到学生密码,显然不恰当。第三,考试成绩也可更改,给不法人员留了个“后门”。
记者试验 轻松“踏进”山东某高校
关于正方教务管理软件的安全漏洞,梁志锋比较认可这么一个比喻:一个人使用某网站的邮箱,该网站的后台却很容易被别人掌握,这就导致无论邮箱用户怎么改密码,别人都能通过后台看到,从而可轻巧易冒用该邮箱地址和密码。
梁志锋说,他发现使用该系统的高校中,部分高校已修复了这个漏洞,说明软件开发公司已知晓漏洞存在。既然这样,为何不全部修复呢?“我也向软件 开发公司反映了这个情况,目前来看,还没有多大效果。”梁志锋说,部分已修复的高校,是使用域名重定向的方式,而此举并不能从根本上解决问题。
梁志锋还发现,如果用火狐、“GoogleChrome”等浏览器登录正方教务管理系统,可查询学生信息,但使用IE、360等浏览器登录,便无法查询。
按照这个方法,8月1日,记者登录山东某高校网站,进入该校使用的正方教务管理软件,仅用一分钟时间,使用一点“小窍门”,便进入了该软件的后 台页面,看到了学生王某的密码。然后,记者再用王某的用户名和密码重新进入,就看到了王某的上述信息。同样,记者还可以看到该校上万名学生中任何一人的用 户名和密码,并进入该软件查看“自己”的信息。
梁志锋发现漏洞的手段,是否属于黑客行为呢?山东省软件评测中心副主任韩庆良说,严格来说,梁志锋的行为算不上“入侵”,属于用户测试。他是一 名很有良知的学生。“该软件的安全漏洞很低级,编程时甚至可以说未考虑安全性,软件设计存在很大的缺陷。”韩庆良说,该系统存在三方面问题。密码没有加 密;对每个页面缺乏权限控制;路径起名无防范意识,很容易被人猜到。对密码加密,是很多管理软件的通用做法。就像银行卡一样,除了用户本人,其他任何人都 不可能知道密码,这样才能保证用户的信息安全。
韩庆良说,使用IE登录无法发现漏洞,是因为客户端脚本自动执行(控制访问权限),360、遨游等浏览器使用了IE的核心技术,所以同样无法登录。而火狐等浏览器的设计原理不同。“这与浏览器无关,仍然是软件本身的问题。”
对于使用域名重定向的方式修复漏洞,韩庆良同样认为治标不治本。他说,软件设计方要想彻底消除漏洞,必须升级系统。但这不是高校的一般管理员可 以完成的。专业人士修复每个系统大约要两天时间。一个人修复1000多所高校的系统需要2000多个工作日,显然要投入较多的人力成本。
“正方”称回复却放鸽子
8月1日下午,记者致电杭州正方软件股份有限公司,就梁志锋反映的情况提出4个问题。综合管理部工作人员称了解后给记者回复,但截至昨天下午6点,记者未接到任何回复。
记者登录杭州正方软件股份有限公司的官方网站看到,该公司称用户“共三十个省、市、自治区1000多所高校”。典型用户包括浙江大学、华南理工大学、江苏大学等。山东省的高校包括山东中医药大学、山东理工大学、山东政法学院等。
8月1日下午,记者拨通了杭州正方软件股份有限公司的总机,接电话的女子称相关负责人都不在,让记者一周后再联系。在记者说明事情的重要性之后,她将电话转至该公司综合管理部。
接电话的席先生说,相关问题要咨询市场部和技术部,他会在咨询后给记者回复。
记者向他提出了4个问题:正方教务管理软件是否存在安全漏洞;使用该软的具体高校数量和学生数量是多少;为何有的学校修复漏洞,有的没有修复,还有多少学校未修复;“正方”下一步将如何处理?
截至昨天下午6点,记者未接到任何回复。其间,记者三次拨打席先生的电话,均被告知他已外出。