奇怪app「超级课程表」是怎么抓取高校教务系统的课程信息？

2012-09-07 03:35:05 +08:00

foru17

这个app的流程是这样的
1.打开「超级课程表」，提示邮箱注册
2.提示输入学号和密码（自己学校教务系统的）
3.然后就抓取到课程信息了
我的学校教务系统是
http://jwc.jnu.edu.cn/web/login.aspx

有几个问题
1.虽说我想没几个人会想着去拿这些学生账号密码干什么事情？可是这种要输入学号和密码的行为（看国内教务系统那蛋疼的架构，开放API的可能性大么？），难道密码是明文储存？
像我们学校系统，通过学号和密码，就能进入系统查看详细的个人信息（身份证，家庭地址，父母信息），这样还是有风险吧？
2.现在高校教务系统的漏洞多到什么程度？

13880 次点击

所在节点

问与答

13 条回复

quake0day

2012-09-07 04:40:03 +08:00

1、有风险
2、不是很多
我以前也做过这个系统信息的抓取和解析
http://www.darlingtree.com/wordpress/archives/314
http://www.darlingtree.com/wordpress/archives/287

dndx

2012-09-07 05:04:19 +08:00

既然要了用户名和密码，应该就不是利用漏洞了吧，应该是模拟登录＋ HTML分析得出的结果。

不过国内教务系统漏洞的确多的要死，越权访问一大堆，比如号称清华开发的某教务系统，只要登录进去（随便什么帐号都行）就能看到别人的课表甚至老师的课表，技术水平实在不敢恭维。

koon_kai

2012-09-07 09:22:33 +08:00

这个应用是我学校的学生做的，具体也没去了解过。

mew7wo

2012-09-07 12:13:01 +08:00

貌似大多数学校用的教务系统都是一样的，所以解析应该不难。

humiaozuzu

2012-09-07 12:16:46 +08:00

就是模拟登录然后解析json的。。。而且我也做了我们学校的web版 = =

kojp

2012-09-07 17:38:18 +08:00

模拟登录 ~~~~ 但我没成功过。

sophy

2012-09-07 23:03:12 +08:00

我写过我们学校的，查成绩用的

Semon

2012-09-07 23:12:38 +08:00

为什么没人觉得是和各大高校谈好然后做接口的呢？

fly2never

2012-09-08 01:37:33 +08:00

很多系统都是那个正方做的

humiaozuzu

2012-09-08 01:40:34 +08:00

@Semon 这个很明显不需要谈，fiddler抓包5分钟搞定。

Semon

2012-09-08 01:48:33 +08:00

@humiaozuzu 如果这样输入密码不就是个很傻并且会影响产品发展的事么？作者会那么笨么？

humiaozuzu

2012-09-08 01:54:33 +08:00

@Semon 这种第三方的都是可以保存用户密码的，而且没有办法。而且大部分用户是不知道这些的。

wcp1231

2013-03-16 13:57:37 +08:00

验证码也是直接识别的？

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/47114

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.