记录第一次edusrc挖掘

文章目录

      • 一、前言
      • 二、漏洞说明
      • 截止目前已修复

一、前言

edusrc平台介绍

我们可以在关于页面看到edusrc的收录规则

现阶段,教育行业漏洞报告平台接收如下类别单位漏洞:

教育部

各省、自治区教育厅、直辖市教委、各级教育局

学校

教育相关软件

可以看到不仅是大学的资产、还有小学初中高中的教育局的也可以交到上面、而资产不仅只有网站,也可以从小程序,app方面入手,不过这方面利用难度就要大一些

而我的第一次挖掘也是在某xxx学校发现的一个简单的《信息泄露》,后面也是马上就上报给了教育漏洞报告平台,接着过了一会就马上通过审核了(低危)

在这里插入图片描述

在这里插入图片描述

二、漏洞说明

那这里的一些基本的挖掘思路,网上有很多我这里便不在多强调了,大家感兴趣的可以自己去查一下,我这里就不多废话直接进入主题;

首先这里肯定就是某xxx的官网;

在这里插入图片描述

点击忘记密码进入,发现需要该校学号登录,当即百度了一番,最后成功拿到一位同学的学号(不做具体说明),bp抓包尝试绕过验证码,但是发现有waf而且还不是一层,那就没办法了,只能老老实实输入进行下一步;(主要就是waf绕不过去没办法。。。)

在这里插入图片描述

进入到“信息效验”这一步操作,这里发现关键,但凡只要进入到这个页面(f12),就可以获取到该学会绑定为真实《手机号》;

在这里插入图片描述

那这时候就想了,既然是真实的手机号,而且根据每个学校的基本特性,学号是有规律的,那我能不能通过遍历这个学号从而达到无限获取真实的《手机号》呢?;

于是为了验证我的猜想是否正确,这里我使用了bp抓包修改;

2022xxxxx1尝试;(手机号获取成功)

在这里插入图片描述

2022xxxxx2尝试;(手机号获取成功)

在这里插入图片描述

举一反三,后面也是逐步成功,那这里就不难免会让一些非法人员盗取手机号干一些违法的事情,根据和师傅们的讨论,这事说大也还好,说小确实也有危害,于是我就报上去了,接着就是审核通过;

在这里插入图片描述

也许很多人对泄露手机号这一说法可能觉得没有什么,那这里我就要说一下它的危害有哪一些;

手机号泄露会带来多种潜在危害,包括但不限于以下几点:

  1. 垃圾信息和诈骗电话

泄露的手机号可能会被用于发送大量垃圾短信、垃圾邮件或拨打骚扰电话。这些信息中有些可能是广告,但也有很多可能是各种类型的诈骗。

  1. 身份盗窃和欺诈

攻击者可以利用泄露的手机号来获取更多的个人信息,进行身份盗窃。比如,他们可能会冒充用户,骗取其他敏感信息(如银行账户信息、身份证号码等),然后进行金融欺诈或其他犯罪活动。

  1. 账户安全风险

手机号通常用于双因素认证(2FA),因此泄露的手机号可能被用于绕过安全措施。攻击者可以尝试通过“SIM卡交换”来获取对用户手机号的控制,从而绕过2FA,登录用户的各种在线账户(如电子邮件、社交媒体、银行账户等)。

  1. 社交工程攻击

攻击者可以利用手机号进行社交工程攻击,欺骗用户或用户的联系人提供更多的敏感信息。例如,攻击者可能会冒充用户给他们的朋友或家人发送信息,要求转账或提供其他信息。

  1. 隐私泄露

手机号泄露会带来一定的隐私风险,尤其是当手机号与用户的其他个人信息(如家庭住址、工作单位等)相关联时。攻击者可以利用这些信息来更详细地了解用户的生活,从而进行进一步的侵扰或攻击。

  1. 定位和追踪

某些情况下,泄露的手机号可以被用来跟踪用户的位置。例如,通过某些应用程序或服务,攻击者可能会获取用户的位置数据,进而进行跟踪或监视。

  1. 欺诈性注册

攻击者可能会使用泄露的手机号进行欺诈性注册,如注册一些网站或服务的账号,进行不法活动,最终可能导致用户本身承担责任或产生其他麻烦。

  1. 影响社交媒体和联系人

如果手机号与社交媒体账号绑定,攻击者可以尝试通过手机号找回密码,获取社交媒体账号的控制权,从而冒充用户,发布不当信息或进行其他破坏性行为。

如何保护自己的手机号安全

  • 不要轻易泄露手机号:在互联网上尽量避免公开发布手机号。
  • 使用虚拟号码:在注册一些不太重要的服务时,可以使用虚拟号码或临时号码。
  • 设置短信和电话拦截:使用手机自带的或第三方安全软件设置垃圾短信和电话拦截。
  • 定期检查账户安全:定期检查与手机号关联的账户的安全设置,确保2FA等安全措施到位。
  • 注意异常行为:如果收到不明来源的短信或电话,不要轻易回应,可以向相关部门举报。

截止目前已修复

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/28637.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

基于FOC控制器的BLDC无刷直流电机控制系统matlab编程与仿真

目录 1.课题概述 2.系统仿真结果 3.核心程序与模型 4.系统原理简介 5.完整工程文件 1.课题概述 基于FOC控制器的BLDC无刷直流电机控制系统matlab编程与仿真,使用MATLAB编程实现,包括FOC控制器,clark,park等,不使用…

【PyQt5】一文向您详细介绍 self.setGeometry() 的作用

【PyQt5】一文向您详细介绍 self.setGeometry() 的作用 下滑即可查看博客内容 🌈 欢迎莅临我的个人主页 👈这里是我静心耕耘深度学习领域、真诚分享知识与智慧的小天地!🎇 🎓 博主简介:985高校的普通本…

linux下的进程通讯

一. 实验内容 1.编写一个程序,实现在两个进程之间运用管道进行通讯。程序中创建一个子进程,然后父、子进程各自独立运行。父进程不断地在标准输入设备上读入小写字母,写入管道。子进程不断地从管道中读取字符,转换为大…

充电宝什么牌子耐用?2024年四大品牌推荐!这四款值得入!

在现代生活中,充电宝已经成为我们日常必备的数码配件之一。无论是旅行、出差还是日常通勤,拥有一款耐用且高效的充电宝,能够为我们的电子设备提供源源不断的电力支持。然而,市场上充电宝品牌众多,质量参差不齐&#xf…

深入理解 Java 中的 volatile 关键字

暮色四合,晚风轻拂,湖面上泛起点点波光,宛如撒下了一片星河。 文章目录 前言一、CPU 三级缓存二、JMM三、并发编程正确性的基础四、volatile 关键字五、volatile 可见性六、volatile 有序性6.1 指令重排序6.2 volatile 禁止指令重排6.3 vola…

如何区分人工智能生成的图像与真实照片(下)

4 功能上的不合理性 AI 生成的图像往往会因为缺乏对现实世界物体结构和相互作用的了解,而产生各种功能不合理之处。这些不合理之处主要表现在以下几个方面: 4.1 构图不合理 物体关系不合逻辑: AI 生成的图像中,物体和人物之间的关系可能不符…

python3GUI--记账助手By:PyQt5(附下载地址)

文章目录 一.前言二.开发环境三.预览1.登录&注册2.主界面3.新增账单1.当前日期2.选择日期3.添加成功 4.删除账单4.筛选账单5.账单数据汇总1.日账单2.月账单3.年账单 四.设计心得1.项目代码结构2.UI设计概览3.UI设计详细1.登录…

人员的社保缴纳情况直接影响设计资质的延续结果。

是的,人员的社保缴纳情况会直接影响设计资质的延续结果。社保缴纳情况是评估企业运营稳定性和合规性的重要指标之一,特别是在设计资质延续的审核过程中。 设计资质延续时,相关部门会要求企业提供涉及资质延续所需人员的社保缴纳证明&#xff…

kettle学习(利用jsonPath定位,json文件转换)

kettle学习(利用jsonPath定位,json文件转换) 于数据处理的广袤天地间,我们时常需应对各类繁杂状况与各式格式。Kettle 作为极具威力的数据集成利器,赋予了我们诸多功能与无限可能此次博客里,我们将重点投向…

如何在电磁仿真软件CST中获得多天线同频的SAR

上期介绍了多天线不同频率情况下如何计算SAR,不用考虑相位差;这期我们看看MIMO,多天线同频,考虑相位差: 简单模型,一只手和两个天线: 工作频率2GHz: 仿真结束查看S11: 查…

KEPServerEX远程配置功能一键Get

远程配置功能,其实是通过KEPServerEX REST 接口及 HTTP 协议命令,对 KEPServerEX Runtime 运行环境进行配置的查询及更改。 右键点击系统托盘处的KEPServerEX Administration 图标,选择Settings | Configuration API Service; 如图设置&…

Windows WPS ppt幻灯片 保存文件时候 PPT文件大小变大 ppt文件太大 解决方案

Windows WPS ppt 幻灯片 保存文件时候 PPT文件大小突然变大,原先只有10M的大小增加到40M 关于wps的ppt文件变大,指的是:明明ppt幻灯片页数和图片都不多,只是稍微修改两个文字,保存时,文件大小增加了不少&a…

android studio CreateProcess error=2, 系统找不到指定的文件

【问题记录篇】 在AndroidStudio编译开发jni相关工程代码的时候,编译遇到的这个报错: CreateProcess error2, 系统找不到指定的文件。排查处理步骤: 先查看Build Output的具体日志输出 2.了解到问题出在了NDK配置上,此时需要根据自己的gra…

模型算法—线性回归

线性回归是统计学中最常见的一种回归分析方法,用于建立自变量(解释变量)和因变量(响应变量)之间的线性关系。线性回归模型可以用来预测一个或多个自变量对应的因变量的值。 线性回归的基本形式如下: &…

【ElasticSearch】ElasticSearch基本概念

ES 是一个开源的高扩展的分布式全文检索引擎,它是对开源库 Luence 的封装,提供 REST API 接口 MySQL 更适合数据的存储和关系管理,即 CRUD;而 ES 更适合做海量数据的检索和分析,它可以秒级地从数据库中检索出我们感兴…

SSH概念、用途、详细使用方法

还是大剑师兰特:曾是美国某知名大学计算机专业研究生,现为航空航海领域高级前端工程师;CSDN知名博主,GIS领域优质创作者,深耕openlayers、leaflet、mapbox、cesium,canvas,webgl,ech…

Excel中多条件判断公式怎么写?

在Excel里,这种情况下的公式怎么写呢? 本题有两个判断条件,按照题设,用IF函数就可以了,这样查看公式时逻辑比较直观: IF(A2>80%, 4, IF(A2>30%, 8*(A2-30%),0)) 用IF函数写公式,特别是当…

【Java】已解决java.lang.ArrayIndexOutOfBoundsException异常

文章目录 一、问题背景二、可能出错的原因三、错误代码示例四、正确代码示例五、注意事项 已解决java.lang.ArrayIndexOutOfBoundsException异常 一、问题背景 java.lang.ArrayIndexOutOfBoundsException 是 Java 中一个非常常见的运行时异常,它表明程序试图访问数…

C语言入门系列:流程控制

一,C代码执行顺序 默认情况下,C语言程序从main()函数开始执行,随后按源代码中语句出现的顺序逐一执行。 这意味着,如果不考虑任何控制结构,程序会自上而下,逐行执行每条语句,直到遇到函数调用…

LabVIEW电源适应能力检测系统

随着工业自动化程度的提高,电源质量直接影响设备的稳定运行。利用LabVIEW开发一个单相电源适应能力检测系统,该系统通过智能化和自动化测试,提高了测试效率,减少了人为错误,保证了电源质量的可靠性。 项目背景 在现代…