V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yeibdyxdxs
V2EX  ›  问与答

在校自己写了一个课程小程序,如何规避风险

  •  
  •   yeibdyxdxs · 162 天前 · 2071 次点击
    这是一个创建于 162 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今年一月的时候突发奇想逆向了学校的教务系统,遂发现了一个平行越权的漏洞,可以实现只需要学号,就能获取到该学号下的周课程,考试成绩,期末考试信息.然后我没想着报告漏洞,而是利用这个漏洞做了一款小程序出来,最开始只是方便我自己寝室使用,但最近学校官方的 app 跟系统崩溃了几天,导致我的小程序也宕机了一阵,结果学校的漏洞接口好了,但是它的登入鉴权没好,所以我的小程序利用漏洞率先恢复致使涌入了一大批用户.



    **对此想问下各位大佬一些问题:**

    1. 因为我临近大四,马上不在学校,马上成为校外人士,如果出现一些法律问题,可能没有校内学生那么好处理,是否要去联系学校做个备案
    2. 但是我利用的教务系统漏洞,如果跟学校谈,学校修复了漏洞,我这个小程序也就马上死了,我又不想夭折的那么快
    3. 或者说我可以把源码卖给学弟学妹??让我回本一下认证费服务器啥的可行吗
    第 1 条附言  ·  161 天前
    下午去教务处谈了一下,学校持欢迎态度,你查可以,但是不能去改,遇到改的漏洞及时上报,不能泄露拿到的信息
    35 条回复    2024-05-30 17:36:58 +08:00
    1351161572
        1
    1351161572  
       162 天前
    改成通过爬虫的方式获取课程信息好一点
    yuzo555
        2
    yuzo555  
       162 天前   ❤️ 6
    提供侵入、非法控制计算机信息系统程序、工具罪
    非法获取计算机信息系统数据罪
    你还想用这个赚钱那妥妥坐实了
    yeibdyxdxs
        3
    yeibdyxdxs  
    OP
       162 天前
    @1351161572 爬虫没有漏洞获取的快啊,还得要用户提供教务系统密码,学校两套教务系统,用爬虫的话得先去第一套拿到 token ,再去第二套拿信息,我现在能直接用学号去第二套获取信息
    yeibdyxdxs
        4
    yeibdyxdxs  
    OP
       162 天前
    @yuzo555 从最开始交了 300 认证费到现在每个月服务器 20 块,也没想着回本了,浅当成一个项目经历吧,就是最近用户量激增让我不得不考虑一下风险了
    1351161572
        5
    1351161572  
       162 天前
    @yeibdyxdxs 超级课程表什么的都是爬的,应该风险小点
    doommm
        6
    doommm  
       162 天前
    我感觉很刑
    Kiriya
        7
    Kiriya  
       162 天前
    如果和导师熟的话申请个课题申请合法接口,并且把服务器及认证费用结一下然后把小程序上交给学校
    xxxccc
        8
    xxxccc  
       162 天前
    这种事情我干过,利用漏洞爬了全校学生的成绩信息,然后做了一个小程序用于班级绩点排名。
    然后把这个玩了一段时间没啥意思,就上报漏洞跑路了。
    yeibdyxdxs
        9
    yeibdyxdxs  
    OP
       162 天前
    @d9e7381f 这个功能好像我也可以做做
    serafin
        10
    serafin  
       162 天前
    不不不。这不是漏洞。学校系统有个 API 通过学号(无需鉴权)就可以获取周课程,考试成绩,期末考试信息。你只是给这个 API ,写了个 UI 而已。 你就一口咬定没有利用漏洞,这就规避了风险 90% 的风险了。
    xiadengmaX1
        11
    xiadengmaX1  
       162 天前
    @serafin 这是你说了算的吗
    KevinDo2
        12
    KevinDo2  
       162 天前
    你写个免责声明,说所有数据皆为人工导入,可能存在错误,不承担任何责任。
    whoosy
        13
    whoosy  
       162 天前
    你是在玩火
    XueXianqi
        14
    XueXianqi  
       162 天前
    刑啊你小子,可狱不可囚啊,非常可铐!
    ma836323493
        15
    ma836323493  
       162 天前
    查数据,又不是改数据,怕迪奥
    proxytoworld
        16
    proxytoworld  
       162 天前
    卖漏洞利用你这不进去都难了,你要么就再找一个提权的漏洞,这样可以提一个 src ,要么就扔那吧,把小程序关了。
    proxytoworld
        17
    proxytoworld  
       162 天前
    我以前在学校的时候发现学校 WiFi 登出只需要传一个 ip 参数,写了个脚本遍历 c 段,把全校都搞登出网络,玩了两次,然后在宽带群看他们说没网了,感觉也没啥意思,就把漏洞交给了老师
    proxytoworld
        18
    proxytoworld  
       162 天前
    @1351161572 如果服务器 down 了,找背锅的也能抓
    xxxccc
        19
    xxxccc  
       162 天前
    @yeibdyxdxs 建议别搞,成绩这个东西还是比较敏感的。话说这个事情你也无法盈利,接口被封是迟早的事情,没法做到长期运营。
    crz
        20
    crz  
       162 天前
    1. 你从这个事上得利了吗,比如收费什么的
    2. 别人因为这个事损失了吗,比如收费,比如预期会导致麻烦,比如被吐嘈面子上不好看。。。
    MMM25O7lf09iR4ic
        21
    MMM25O7lf09iR4ic  
       162 天前
    早点放手吧。。。 在校轻则开除,不在校轻则直接就业特殊公务员。
    pelloz
        22
    pelloz  
       162 天前
    你在想啥呢,赶紧下架,删除代码,拒不承认。最多好心给教务处发个匿名邮件指出他们的漏洞。
    我那个利用漏洞获利的学长被公安局从教室直接带走,可是吃了三年国家饭。当然他用的是腾讯的漏洞,你用的是学校的漏洞,但是性质没有区别!!
    Light3
        23
    Light3  
       162 天前
    规避风险 就是关了
    等找到你的时候 你说啥也没用

    你这基本就是刑的
    毕竟在未经授权的情况下 侵入教务系统
    而且获取学号就能获取各种信息
    很刑 跟灰产没有任何区别
    body007
        24
    body007  
       162 天前
    只需要学号就能获取信息,那么同学之间互查信息,是否构成侵犯隐私的行为。如果仍需要先登陆学校某系统才能看的话会好些(否则我作为用户肯定要举报的)。用户量越来越多,难保不会被学校知道,早点关了吧。
    Mogugugugu
        25
    Mogugugugu  
       162 天前
    好家伙、、、别以为不改数据就没事,把服务器搞挂了或者数据泄露了,学校反手就会报警,一查一个准,不是你全责也会把你牵扯出来。。。

    都大四了稳稳当当的毕个业吧,这玩意可能不会出事,但是一旦出事,你这 4 年白混,甚至有概率进去吃三年饭,想想你能承担这个后果吗?
    RangerWolf
        26
    RangerWolf  
       162 天前
    这么早就想吃皇粮吗?真刑啊你!
    RangerWolf
        27
    RangerWolf  
       162 天前
    当然了,富贵险中求,致富之路都已经写好给大家看了,看你自己了~
    jimages
        28
    jimages  
       162 天前
    1. 这活我之前做过,日活 8k ,注册用户 3w 。不一样的是我让用户自己输入的教务密码,相对来说风险小一些。这个我们和教务处的老师沟通过,只要你不是恶意,问题不大。但最主要的问题不是这个。

    2. 最主要的问题是你这个小程序不合规,你必须通过《教育移动互联网应用程序备案》,否则 APP 是不合规的,你都大四,就算是学校把你收归己有,也必须通过备案的。这个备案要求还挺高的。楼主可以看一下。
    Jinnrry
        29
    Jinnrry  
       162 天前 via Android   ❤️ 1
    我大学的时候,跟学校领导关系很好,当时我们学校教务系统很垃圾,每次选课都崩溃,然后我帮忙加了几个索引,改了一些存储过程,后来选课,查成绩基本不会奔溃了。那之后学校领导把学校财务,教育,学工的系统全部给我维护了。(甚至正方的维护人员都得听我管)

    然后我就直接连数据库,写了一套成绩查询,课表查询,学校领导高兴得不行,还专门从学校机房弄了台服务器给我,然后每个月走勤工助学给我发几百块维护费
    q727729853
        30
    q727729853  
       162 天前
    凡是发现了 xxx 漏洞,并且以此获利的都是违法行为。
    到时候有学生举报你什么的,轻则被学校请喝茶,重则可以免费进去吃几个月的饭了
    q727729853
        31
    q727729853  
       162 天前
    @serafin 逆向发现漏洞。。到时候被逮到的时候,就不是一两句话就能撇清责任的了
    43n5Z6GyW39943pj
        32
    43n5Z6GyW39943pj  
       162 天前
    把东西做出来去教务处给他们展示, 看看能不能说服他们给你数据
    后续发展论坛/外卖入驻
    PingAn66
        33
    PingAn66  
       162 天前
    建议现在就找学校相关的领导自首
    BeforeTooLate
        34
    BeforeTooLate  
       162 天前
    还是算了吧,要么去和学校沟通让学校给你开放一个接口。但是你这只要学号就可以获取太扯了。
    yeibdyxdxs
        35
    yeibdyxdxs  
    OP
       161 天前
    下午去教务处谈了一下,学校持欢迎态度,你查可以,但是不能去改,遇到改的漏洞及时上报,不能泄露拿到的信息
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5598 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 06:39 · PVG 14:39 · LAX 22:39 · JFK 01:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.