今年一月的时候突发奇想逆向了学校的教务系统,遂发现了一个平行越权的漏洞,可以实现只需要学号,就能获取到该学号下的周课程,考试成绩,期末考试信息.然后我没想着报告漏洞,而是利用这个漏洞做了一款小程序出来,最开始只是方便我自己寝室使用,但最近学校官方的 app 跟系统崩溃了几天,导致我的小程序也宕机了一阵,结果学校的漏洞接口好了,但是它的登入鉴权没好,所以我的小程序利用漏洞率先恢复致使涌入了一大批用户.
**对此想问下各位大佬一些问题:**
1. 因为我临近大四,马上不在学校,马上成为校外人士,如果出现一些法律问题,可能没有校内学生那么好处理,是否要去联系学校做个备案
2. 但是我利用的教务系统漏洞,如果跟学校谈,学校修复了漏洞,我这个小程序也就马上死了,我又不想夭折的那么快
3. 或者说我可以把源码卖给学弟学妹??让我回本一下认证费服务器啥的可行吗
**对此想问下各位大佬一些问题:**
1. 因为我临近大四,马上不在学校,马上成为校外人士,如果出现一些法律问题,可能没有校内学生那么好处理,是否要去联系学校做个备案
2. 但是我利用的教务系统漏洞,如果跟学校谈,学校修复了漏洞,我这个小程序也就马上死了,我又不想夭折的那么快
3. 或者说我可以把源码卖给学弟学妹??让我回本一下认证费服务器啥的可行吗
第 1 条附言 · 21 天前
下午去教务处谈了一下,学校持欢迎态度,你查可以,但是不能去改,遇到改的漏洞及时上报,不能泄露拿到的信息
35 条回复 • 2024-05-30 17:36:58 +08:00
 |
1
1351161572 21 天前
改成通过爬虫的方式获取课程信息好一点
|
 |
2
yuzo555 21 天前  6
提供侵入、非法控制计算机信息系统程序、工具罪
非法获取计算机信息系统数据罪 你还想用这个赚钱那妥妥坐实了 |
 |
3
yeibdyxdxs OP @1351161572 爬虫没有漏洞获取的快啊,还得要用户提供教务系统密码,学校两套教务系统,用爬虫的话得先去第一套拿到 token ,再去第二套拿信息,我现在能直接用学号去第二套获取信息
|
|
4
yeibdyxdxs OP @yuzo555 从最开始交了 300 认证费到现在每个月服务器 20 块,也没想着回本了,浅当成一个项目经历吧,就是最近用户量激增让我不得不考虑一下风险了
|
|
5
1351161572 21 天前
@yeibdyxdxs 超级课程表什么的都是爬的,应该风险小点
|
 |
6
doommm 21 天前
我感觉很刑
|
 |
7
Kiriya 21 天前
如果和导师熟的话申请个课题申请合法接口,并且把服务器及认证费用结一下然后把小程序上交给学校
|
 |
8
xxxccc 21 天前
这种事情我干过,利用漏洞爬了全校学生的成绩信息,然后做了一个小程序用于班级绩点排名。
然后把这个玩了一段时间没啥意思,就上报漏洞跑路了。 |
|
9
yeibdyxdxs OP @d9e7381f 这个功能好像我也可以做做
|
 |
10
serafin 21 天前
不不不。这不是漏洞。学校系统有个 API 通过学号(无需鉴权)就可以获取周课程,考试成绩,期末考试信息。你只是给这个 API ,写了个 UI 而已。 你就一口咬定没有利用漏洞,这就规避了风险 90% 的风险了。
|
 |
11
xiadengmaX1 21 天前
@serafin 这是你说了算的吗
|
 |
12
KevinDo2 21 天前
你写个免责声明,说所有数据皆为人工导入,可能存在错误,不承担任何责任。
|
 |
13
whoosy 21 天前
你是在玩火
|
 |
14
XueXianqi 21 天前
刑啊你小子,可狱不可囚啊,非常可铐!
|
 |
15
ma836323493 21 天前
查数据,又不是改数据,怕迪奥
|
 |
16
proxytoworld 21 天前
卖漏洞利用你这不进去都难了,你要么就再找一个提权的漏洞,这样可以提一个 src ,要么就扔那吧,把小程序关了。
|
|
17
proxytoworld 21 天前
我以前在学校的时候发现学校 WiFi 登出只需要传一个 ip 参数,写了个脚本遍历 c 段,把全校都搞登出网络,玩了两次,然后在宽带群看他们说没网了,感觉也没啥意思,就把漏洞交给了老师
|
|
18
proxytoworld 21 天前
@1351161572 如果服务器 down 了,找背锅的也能抓
|
|
19
xxxccc 21 天前
@yeibdyxdxs 建议别搞,成绩这个东西还是比较敏感的。话说这个事情你也无法盈利,接口被封是迟早的事情,没法做到长期运营。
|
 |
20
crz 21 天前
1. 你从这个事上得利了吗,比如收费什么的
2. 别人因为这个事损失了吗,比如收费,比如预期会导致麻烦,比如被吐嘈面子上不好看。。。 |
 |
21
erwsd32ew 21 天前
早点放手吧。。。 在校轻则开除,不在校轻则直接就业特殊公务员。
|
 |
22
pelloz 21 天前
你在想啥呢,赶紧下架,删除代码,拒不承认。最多好心给教务处发个匿名邮件指出他们的漏洞。
我那个利用漏洞获利的学长被公安局从教室直接带走,可是吃了三年国家饭。当然他用的是腾讯的漏洞,你用的是学校的漏洞,但是性质没有区别!! |
 |
23
Light3 21 天前
规避风险 就是关了
等找到你的时候 你说啥也没用 你这基本就是刑的 毕竟在未经授权的情况下 侵入教务系统 而且获取学号就能获取各种信息 很刑 跟灰产没有任何区别 |
 |
24
body007 21 天前
只需要学号就能获取信息,那么同学之间互查信息,是否构成侵犯隐私的行为。如果仍需要先登陆学校某系统才能看的话会好些(否则我作为用户肯定要举报的)。用户量越来越多,难保不会被学校知道,早点关了吧。
|
 |
25
Mogugugugu 21 天前
好家伙、、、别以为不改数据就没事,把服务器搞挂了或者数据泄露了,学校反手就会报警,一查一个准,不是你全责也会把你牵扯出来。。。
都大四了稳稳当当的毕个业吧,这玩意可能不会出事,但是一旦出事,你这 4 年白混,甚至有概率进去吃三年饭,想想你能承担这个后果吗? |
 |
26
RangerWolf 21 天前
这么早就想吃皇粮吗?真刑啊你!
|
|
27
RangerWolf 21 天前
当然了,富贵险中求,致富之路都已经写好给大家看了,看你自己了~
|
 |
28
jimages 21 天前
1. 这活我之前做过,日活 8k ,注册用户 3w 。不一样的是我让用户自己输入的教务密码,相对来说风险小一些。这个我们和教务处的老师沟通过,只要你不是恶意,问题不大。但最主要的问题不是这个。
2. 最主要的问题是你这个小程序不合规,你必须通过《教育移动互联网应用程序备案》,否则 APP 是不合规的,你都大四,就算是学校把你收归己有,也必须通过备案的。这个备案要求还挺高的。楼主可以看一下。 |
 |
29
Jinnrry 21 天前 via Android 1
我大学的时候,跟学校领导关系很好,当时我们学校教务系统很垃圾,每次选课都崩溃,然后我帮忙加了几个索引,改了一些存储过程,后来选课,查成绩基本不会奔溃了。那之后学校领导把学校财务,教育,学工的系统全部给我维护了。(甚至正方的维护人员都得听我管)
然后我就直接连数据库,写了一套成绩查询,课表查询,学校领导高兴得不行,还专门从学校机房弄了台服务器给我,然后每个月走勤工助学给我发几百块维护费 |
 |
30
q727729853 21 天前
凡是发现了 xxx 漏洞,并且以此获利的都是违法行为。
到时候有学生举报你什么的,轻则被学校请喝茶,重则可以免费进去吃几个月的饭了 |
|
31
q727729853 21 天前
@serafin 逆向发现漏洞。。到时候被逮到的时候,就不是一两句话就能撇清责任的了
|
 |
32
MorJS 21 天前
把东西做出来去教务处给他们展示, 看看能不能说服他们给你数据
后续发展论坛/外卖入驻 |
 |
33
PingAn66 21 天前
建议现在就找学校相关的领导自首
|
 |
34
BeforeTooLate 21 天前
还是算了吧,要么去和学校沟通让学校给你开放一个接口。但是你这只要学号就可以获取太扯了。
|
|
35
yeibdyxdxs OP 下午去教务处谈了一下,学校持欢迎态度,你查可以,但是不能去改,遇到改的漏洞及时上报,不能泄露拿到的信息
|
Select Language