V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
foru17
V2EX  ›  问与答

奇怪app「超级课程表」是怎么抓取高校教务系统的课程信息?

  •  
  •   foru17 · 2012-09-07 03:35:05 +08:00 · 13958 次点击
    这是一个创建于 4459 天前的主题,其中的信息可能已经有所发展或是发生改变。


    这个app的流程是这样的
    1.打开「超级课程表」,提示邮箱注册
    2.提示输入 学号 和密码 (自己学校教务系统的)
    3.然后就抓取到课程信息了
    我的学校教务系统是
    http://jwc.jnu.edu.cn/web/login.aspx

    有几个问题
    1.虽说我想没几个人会想着去拿这些学生账号密码干什么事情?可是这种要输入学号和密码的行为(看国内教务系统那蛋疼的架构,开放API的可能性大么?),难道密码是明文储存?
    像我们学校系统,通过学号和密码,就能进入系统查看详细的个人信息(身份证,家庭地址,父母信息),这样还是有风险吧?
    2.现在高校教务系统的漏洞多到什么程度?
    13 条回复    1970-01-01 08:00:00 +08:00
    quake0day
        1
    quake0day  
       2012-09-07 04:40:03 +08:00
    1、有风险
    2、不是很多
    我以前也做过这个系统信息的抓取和解析
    http://www.darlingtree.com/wordpress/archives/314
    http://www.darlingtree.com/wordpress/archives/287
    dndx
        2
    dndx  
       2012-09-07 05:04:19 +08:00
    既然要了用户名和密码,应该就不是利用漏洞了吧,应该是模拟登录 + HTML分析得出的结果。

    不过国内教务系统漏洞的确多的要死,越权访问一大堆,比如号称清华开发的某教务系统,只要登录进去(随便什么帐号都行)就能看到别人的课表甚至老师的课表,技术水平实在不敢恭维。
    koon_kai
        3
    koon_kai  
       2012-09-07 09:22:33 +08:00
    这个应用是我学校的学生做的,具体也没去了解过。
    mew7wo
        4
    mew7wo  
       2012-09-07 12:13:01 +08:00
    貌似大多数学校用的教务系统都是一样的,所以解析应该不难。
    humiaozuzu
        5
    humiaozuzu  
       2012-09-07 12:16:46 +08:00
    就是模拟登录然后解析json的。。。 而且我也做了我们学校的web版 = =
    kojp
        6
    kojp  
       2012-09-07 17:38:18 +08:00
    模拟登录 ~~~~ 但我没成功过。
    sophy
        7
    sophy  
       2012-09-07 23:03:12 +08:00
    我写过我们学校的,查成绩用的
    Semon
        8
    Semon  
       2012-09-07 23:12:38 +08:00
    为什么没人觉得是和各大高校谈好然后做接口的呢?
    fly2never
        9
    fly2never  
       2012-09-08 01:37:33 +08:00
    很多系统都是那个正方做的
    humiaozuzu
        10
    humiaozuzu  
       2012-09-08 01:40:34 +08:00
    @Semon 这个很明显不需要谈,fiddler抓包5分钟搞定。
    Semon
        11
    Semon  
       2012-09-08 01:48:33 +08:00
    @humiaozuzu 如果这样输入密码不就是个很傻并且会影响产品发展的事么?作者会那么笨么?
    humiaozuzu
        12
    humiaozuzu  
       2012-09-08 01:54:33 +08:00   ❤️ 1
    @Semon 这种第三方的都是可以保存用户密码的,而且没有办法。 而且大部分用户是不知道这些的。
    wcp1231
        13
    wcp1231  
       2013-03-16 13:57:37 +08:00
    验证码也是直接识别的?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2690 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 12:24 · PVG 20:24 · LAX 04:24 · JFK 07:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.