关闭

[置顶] 我是如何获取到全校同学的证件照?

标签: 网站漏洞获取证件照挖漏洞
139人阅读 评论(0) 收藏 举报
分类:


近几日因为需要填表什么的,导致我需要频繁的登陆学校的学生管理系统。在浏览我的学籍信息的时候看到有个地方显示我们现在校园卡上的照片。(估计大多数人的校园卡都是不想让别人看到的… …)


然后我就在想,它是如何显示出来的?是不是简单的一个图片源文件的链接?右击图片,点击【图片另存为】,弹出了这样的一个提示框!



接着去查看图片的属性,看看它的的链接是哪个?



看来这是个固定的链接,而不是我之前预料的那种通过get或者post方式提交学号然后获得返回值的!

看来没我想的那么简单啊!

我看到登进来系统之后,看到首页也有一个显示图片的地方但是却加载失败!



查看了一下这个地方图片的链接,如下图所示




通过get 方式提交学号,然后获得的结果!可是学校已经放弃了这种方式,心痛!我怎么不早几年来上学… …

 

就这样停了下来,我就在一直苦思冥想,到底哪个地方还可以显示照片!在管理系统中找了一遍之后,发现是没有希望了!

 

不过突然想到,校图书馆系统中的个人中心中好像有!(这就是喜欢去图书馆借书的好处~~~)

立刻打开校图书馆的网站,登陆进去第一眼看到的是,我欠钱了… …



之前去付款老师说不用付,每次都能看到这个东西!

不过令我开心的是,图书馆管理系统个人中心不仅有个人的照片,而且照片显示的方式却是学生管理系统中放弃的那种方式~~~

顿时像中了十块钱彩票那么高兴!(哈哈哈)


这次终于可以看查到所有同学的证件照了!!!

然后写个程序将全部的证件照下载下来!再用神经网络评价颜值(虽然大部分人的都没有本人好看)高低,按照分值高低排序!之前看到过一个发布在Github上面基于CNN实现人脸打分的项目。

不过,我想还是自己先通过这个接口,做个能查看全校同学相片的网页吧!

说写就写,

根目录下有三个文件,



一个是提交表单,一个后台处理文件,然后因为如果稍微懂一点点网页知识的同学在电脑上打开之后,就很容易发现那条可以获得照片的链接!所以机智的我,做了一下小小的限制。电脑端不可访问首页… … 我不知道那个手机浏览器可以查看网页源代码,可能是我孤陋寡闻了!但是,我也尽我最大的能力做了限制!

手机打开之后,



可以输入你想查询学生的学号!

然后测试一下,用电脑打开,


很显然,效果还是很明显的,直接跳转到错误页面了!不过,这种方式也只能阻挡一下小小白!其实改一下请求头的内容,就限制不了了!

接下来,咱们来查一个学号,


输入,学号;

点击,查看;



嘿嘿!照片出来了!

 

我将代码放到我的服务器网站的根目录下后,把链接发给了两个同学玩!(当然,我在代码中做了限制——不能查看我的照片!)

 

俩同学都玩得不亦乐乎,可是我突然感觉似乎有点不妥!然后急忙将网页下线了!因为当时已经很晚了!然后我就决定,明天将这个问题反映给老师吧,也不去做人脸打分了!毕竟涉及到个人隐私。

 

第二天,我在图书馆网站留言后,不一会儿就有图书馆研发老师加我好友!

然后就,

-你是学什么的啊?

-软件工程

-你感觉怎么改好?

Balabala… …

说了好多!

最后,老师说“谢谢!我会尽快改掉的。”

好吧,至少老师给说了声“谢谢”呢!

 

第二天,我再看的时候发现,已经改掉了!效率果然高… …  



声明:以上仅为学习交流,用于其它非法用途后果自负

 

友情链接《中华人民共和国网络安全法》 

http://www.miit.gov.cn/n1146295/n1146557/n1146614/c5345009/content.html

友情提示:6月1日起一批新规施行 贩卖个人信息50条可入罪

更多趣闻,请关注微信公众号:Worldhello

或扫描下方二维码:



1
0
查看评论

Android定位获取经纬度并显示位置

今天给了个要获取用户当前位置信息的功能,就结合着网上的资料写了一点。 public void getLocation() { locManger = (LocationManager) getActivity().getSystemService(Context.LOCATION_SERVICE...
  • u012728458
  • u012728458
  • 2015-01-06 17:39
  • 537

php如何获取当前页面隐藏按钮value

<br />实现获得隐藏按钮mycard的value值<br />这种不是php做的。你用JS赋值非要说php,那就是php输出JS<br />无法获得。php只处理发送过来的数据。不过可以用javascript来获取。<br />php要获取,或者提...
  • h57020877
  • h57020877
  • 2010-12-04 20:05
  • 1428

父子窗口、父子框架控件获取

参考:http://blog.sina.com.cn/s/blog_4779b7f50100b9d0.htmlJ S取FRAME或父窗口控件的值 1子页面取父页面的控件值 ...
  • alane1986
  • alane1986
  • 2011-01-15 21:15
  • 1533

在为属性为match_parent的控件设置权重时出现的反比例情况解析

以垂直方向上按权重分配为例,一般我们使用weight这个属性时,但是当控件的高度不同时其呈现的样式也是有所不同的。 这与权重的计算方式决定的,实际上,对于任何不同属性的设置,权重的计算方式是一样的。 那就是,用在分配方向上的屏幕的总长度(宽度)- 该方向上空间的原有长度(宽度) = 剩余的长...
  • eclipse_yin
  • eclipse_yin
  • 2016-06-27 19:00
  • 682

获取异常详细信息

public static String getExceptionAll(Exception ex) { StringBuilder builder = new StringBuilder(); StackTraceElement[] trace = ex.getSt...
  • victory08
  • victory08
  • 2015-11-17 10:52
  • 315

不出门也能拍好证件照

最近,在人人网看到一篇帖子——【美图秀秀技巧】教你在家就能拍出满意的证件照,禁不住手又痒痒了,何不利用假期小试一把。     以前最犯愁去拍证件照了,办理各种证书和表格等经常需要交一寸照片,每次拍出的照片似乎都有点  。  &...
  • twlkyao
  • twlkyao
  • 2013-10-02 11:36
  • 2156

JavaScript如何获取到当前时间

checkForm.html                var myDate=new Date();  var str="今天是:"+(myDate.getYear()...
  • pangqiandou
  • pangqiandou
  • 2016-10-21 08:09
  • 229

jsonStore获取属性中的值

var store=new Ext.data.JsonStore({ data:"这里是你保存数据的变量,本地数据", url:"如果是从服务端获得数据,则填写服务端地址,如果是本地数据则不需要此属性", field:["这里是字段的名如{name:...
  • xiongbamima
  • xiongbamima
  • 2013-11-21 16:20
  • 1271

js 获取后台model返回的值

'';
  • qq_33238935
  • qq_33238935
  • 2016-09-18 14:18
  • 196

PS如何快速修改证件照片底色

PS快速修改证件照片底色(我这里是把蓝色换成红色) 工具/原料 电脑 photoshop 方法/步骤 1 打开您的照片,(我这个图片来自网络) ...
  • scdnzhoulu
  • scdnzhoulu
  • 2017-12-05 12:39
  • 134
    个人资料
    • 访问:126509次
    • 积分:3214
    • 等级:
    • 排名:第12600名
    • 原创:187篇
    • 转载:4篇
    • 译文:9篇
    • 评论:33条
    RUNNING|~_~|My web
    微信公众号
    课程设计、视频资源、有料趣文
    Worldhello


    微信公众号:Worldhello
    期待您的关注!
    博客专栏
    最新评论