[重大网络安全漏洞]北京大学医学部校园网认证系统
source link: https://bbs.pku.edu.cn/v2/post-read.php?bid=138&threadid=18220857
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
[重大网络安全漏洞]北京大学医学部校园网认证系统
[复制链接] 分享:
<ASCIIArt> 1楼
警告!警告!警告!
⚠️⚠️⚠️
涉及网站:
北京大学医学部校园网认证系统:its.bjmu.edu.cn(感谢@xuziling同学的提醒,相关工作人员已经修复漏洞,现在变成了https协议)(相关工作人员可能有些害羞,没有直接回帖,在这里还是很感谢他们解决了问题)
PBL教学平台-后台登录:pbl.bjmu.edu.cn(感谢@YOUzheng同学的补充,经测试,该网站存在相同问题,希望相关工作人员趁热打铁,修复所有漏洞)
PS: 综合服务平台(apps.bjmu.edu.cn)和选课网(xsxk.bjmu.edu.cn)虽然都是http协议,但是传输的密码经过加密处理(虽然以我的能力破解不出来,不过也许有大佬能破解,最好还是一起升级成https吧)
本人在进行校园网认证时发现该网站所使用的是http协议,谷歌浏览器总是显示“不安全”。
众所周知,http协议是明文传输,一开始我以为该网站会有加密函数处理后传输,但是我还是不放心,于是抱着试一试的心态在本地测试了一下。
我运行了抓包工具后,进入its.bjmu.edu.cn后输入用户名:test,密码:123456,然后停止抓包,找到post的http包,发现test和123456赫然在目!好家伙,竟然敢直接明文传输!(详情见附件图片)
如果该漏洞被别有用心的人利用,进行arp欺骗的中间人攻击(甚至直接打造一个钓鱼WiFi就可以)获取同学们的账号和密码,相当于直接获取了门户的账号密码,其严重后果不言而喻。
在此,我强烈呼吁北京大学医学部网络安全与信息化技术中心提高校园网认证网站的安全性(如使用https协议,或者写一个加密函数),与此同时,建议医学部的同学提高警惕,在学校完成升级改造之前尽量少输入密码进行认证,如担心密码泄露,赶紧去修改密码。
郑重承诺:本人基于本地环境进行测试,未获取任何除本机之外的数据包。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK