利用正方教务漏洞抓取正方教务学生照片

最新推荐文章于 2024-03-20 06:00:00 发布
最新推荐文章于 2024-03-20 06:00:00 发布
阅读量1.1w 收藏 15
点赞数 8
分类专栏: 规范 文章标签: 漏洞 计算机 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013775952/article/details/52471186
版权

全国据说大部分学校采用的都是正方教务的教务系统,个人感觉安全性做的真的不是很好,比起综合教务,安全性差远了,利用爬虫能非常轻易的获得教务的学生照片。

这里只提供图片下载的代码,关于获取图片的url,懂点计算机的都明白(还是要吐槽一下这个教务的安全性),幸亏我们学校用的不是正方系统,不然感觉隐私泄露有点那啥啊!(逃)

public static void download(String urlString, String filename,String savePath) throws Exception {
     InputStream inputStream = null;
     HttpURLConnection httpURLConnection = null;

     try {
       URL url = new URL(urlString);
       System.out.println(urlString);
       httpURLConnection = (HttpURLConnection) url.openConnection();
       httpURLConnection.setConnectTimeout(10000);
       httpURLConnection.setDoInput(true);   
       httpURLConnection.setRequestMethod("GET");
       int responseCode = httpURLConnection.getResponseCode();
       System.out.println(responseCode);
       if (responseCode == 200) {
         // 从服务器返回一个输入流
         inputStream = httpURLConnection.getInputStream();
         byte[] bs = new byte[1024];
         // 读取到的数据长度
         int len;
         // 输出的文件流
        File sf=new File(savePath);
        if(!sf.exists()){
         sf.mkdirs();
        }
        OutputStream os = new FileOutputStream(sf.getPath()+"\\"+filename);
         // 开始读取
         while ((len = inputStream.read(bs)) != -1) {
           os.write(bs, 0, len);
         }
         System.out.println("wancheng");
         // 完毕,关闭所有链接
         os.close();
         inputStream.close();
       }

     } catch (MalformedURLException e) {
       // TODO Auto-generated catch block
       e.printStackTrace();
     } catch (IOException e) {
       // TODO Auto-generated catch block
       e.printStackTrace();
     }

 }
th是个小屁孩
关注
  • 8
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
正方教务管理系统数据库任意操作漏洞 _ 乌云漏洞库,乌云镜像站, WooYun 漏洞库, WooYun 镜像站1
08-03
正方教务管理系统数据库任意操作漏洞 | 乌云漏洞库,乌云镜像站, WooYun 漏洞库, WooYun 镜像站Home (/) / Bugs (/bug/ind
正方教务系统新版sql注入漏洞利用工具
01-19
相信研究过正方教务系统的朋友看到过网上传播的比较多的一篇文章提的/service.asmx中的BMCheckPassword存在注入,然而现在大多数正方教务已经将BMCheckPassword移除了,导致漏洞无法利用。本人研究了/service.asmx中的其它接口,发现zfcwjk1存在同样的注入漏洞,特将注入方法写成工具供大家学习参考。 zfcwjk1似乎是一个财务类的确认接口,利用起来稍微麻烦点,需要一个目标学校的任意学号。 程序执行后,会需要用户输入三个参数。分别是: 1.目标网址 2.目标学校的任意学号 3.年份(估计是用来确定这个学号所在年份的情况,随便填个2012或者2013,不行再换) 若提示“cannot access target url”则可能是目标网址填错了或者教务系统已经将/service.asmx移除了,如果是/service.asmx被移除的话漏洞就没法再利用了。 另外,若是校内网使用则建议挂代理。。。
漏洞复现】正方教学管理信息服务平台ReportServer存在任意文件读取
最新发布
weixin_52204925的博客
03-20 1054
正方教学管理信息服务平台ReportServer存在任意文件读取漏洞,攻击者可通过该漏洞获取服务器上敏感文件内容
记一次挖掘弱口令漏洞--弱口令之夜
花城的博客
07-03 809
记一次挖掘弱口令漏洞--弱口令之夜
正方教务系统新版php,正方教务系统最新sql注射漏洞修复 | CN-SEC 中文网
weixin_39979489的博客
04-13 3884
摘要你还再为考试挂科而烦恼么,你还再为大学里怎么要妹子电话而纠结么,你想快速找到学校里的漂亮妹子么,那么请看下文 1. 教室查询处有sql注射,如图你还再为考试挂科而烦恼么,你还再为大学里怎么要妹子电话而纠结么,你想快速找到学校里的漂亮妹子么,那么请看下文 1. 教室查询处有sql注射,如图1unionselectNULL,ownerfromall_tables爆出数据库2.找回密码存...
URP综合教务系统成绩录入插件
01-08
实现URP综合教务系统成绩的EXCEL导入功能和学生名单的EXCEL导出功能。
关于新正方教务系统(湖北工程学院)的one day越权漏洞的说明
小王的博客
12-19 1万+
漏洞基于湖北工程学院教务管理系统进行演示,漏洞覆盖新正方教务系统8.0以下版本,为本人一年前提交的漏洞,所以并非0day漏洞漏洞影响范围巨大,几乎涉及国内一半高校的教务系统,包含武汉大学、浙江工商大学等等而且据本人推测,此漏洞难以完全修复,因为我怀疑在该程序的设计阶段,权限验证模块与真实功能模块耦合度过高,所以到目前如此多的功能,已经难以完全修复所有页面了本人在发布漏洞前已和本校教务系统及公司提前沟通,并已修复了较为重要的功能模块。
正方高校教务管理系统漏洞修复
fengling132的专栏
06-15 5696
正方高校教务管理系统是一款学生成绩,选课管理系统,目前有众多高校使用这款教务管理系统。近期该系统爆出了一个高危漏洞,攻击者可以利用漏洞轻易获取网站webshell权限。下面给出漏洞的情况和修复方法: 漏洞类型:上传漏洞 漏洞文件:/ftb.imagegallery.aspx 该漏洞文件没有任何权限限制,访问者可以直接访问该文件,从而通过文件自有的上传功能,来上传构造好的可以解析的后门文件。
2021-08-16记一次无意发现正方教务系统的bug
qq_43548154的博客
08-16 7607
前几天无意中发现了正方教务系统(版本V-7.2.7)的教师评价功能的一个问题,就是可以在越过前端校验的情况下重复提交,达到修改评分的效果,并且打分可以为负数!
正方教务管理系统后台敏感日志查看漏洞
热门推荐
弱弱的小雨鸟
01-04 3万+
正方教务管理系统作为正方软件的主打产品,从其官网了解到——截止至2012年10月,已有1,000余所高校使用了其数字化校园信息平台。从百度的最新检索结果也可见,成片成片的高校目前正在使用该教务系统。   经笔者测试,大多数高校的正方教务系统版本都存在该漏洞,在教务系统的网址后加上/log/2018-01-04-log.txt或者/log/2018-01-04-Errorlog.txt,便
Java实现从正方教务系统抓取数据(三)--android客户端
01-09
正方教务系统数据抓取(含验证码识别),模拟登录,抓取课表,考试成绩,考试安排,个人信息。并且提供了Json Api接口可供客户端调用。这个是android端调用的
Java模拟登录正方教务抓取成绩、课表、空教室
10-22
主要介绍了Java模拟登录正方教务抓取成绩、课表、空教室等信息,Java实现模拟登录正方教务抓取成绩、课表、空教室,通过HttpClient来模拟浏览器请求,Jsoup解析网页内容,感兴趣的小伙伴们可以参考一下
正方教务系统数据抓取(含验证码识别)
10-24
正方教务系统数据抓取(含验证码识别),模拟登录,抓取课表,考试成绩,考试安排,个人信息。并且提供了Json Api接口可供客户端调用。
Python-ZhengFangSystemSpider一只登录正方教务管理系统爬取数据的小爬虫
08-12
ZhengFang_System_Spider 一只登录正方教务管理系统,爬取数据的小爬虫
ScoreSpider:正方教务系统登录抓取成绩
06-07
ScoreSpider正方教务系统登录抓取成绩Pyhton 版本号2.7.5
zafu_jwc:正方教务课程表抓取
05-06
zafu_jwc 正方教务课程表抓取 博客地址
【雕爷学编程】Arduino智慧校园之监测计算机室门禁和班级网络信息安全
雕爷学编程
03-15 862
Arduino还有一个丰富的库和社区,你可以利用它们来扩展Arduino的功能和学习Arduino的知识。另外,通过传感器和按钮的输入,可以监测计算机室门禁和触发班级网络信息安全报警,同时可以通过远程控制来执行相关操作。Arduino智慧校园之监测计算机室门禁和班级网络信息安全是一种基于Arduino技术的智能系统,旨在提供对计算机室门禁和班级网络信息安全的监测和管理。这意味着用户可以自由地访问和修改Arduino的设计和代码,以满足校园的特定需求,并且能够与其他开源硬件和软件兼容。
正方教务管理系统 sql漏洞
09-03
正方教务管理系统是一种常用的学校教务管理软件,其广泛应用于各级学校。然而,正方教务管理系统存在一些安全隐患,其中之一就是SQL漏洞。 SQL漏洞是指攻击者通过构造恶意的SQL语句来向数据库中注入恶意代码,并利用这些代码对数据库进行非法操作或获取敏感信息。正方教务管理系统在处理用户输入时存在不足,攻击者可以利用这一漏洞,通过修改或插入恶意代码来执行未授权的操作。 可能导致正方教务管理系统SQL漏洞的原因有几个。首先,程序员在编写代码时可能未进行充分的输入验证和过滤,使得用户输入可以被直接拼接到SQL语句中。其次,开发人员可能在错误处理或日志记录中包含了敏感信息,攻击者可以利用这些信息来构造恶意代码并获取更多权限。此外,正方教务管理系统的配置可能不够安全,例如管理员账户和密码过于简单或者默认的数据库账户密码未修改。 要解决正方教务管理系统SQL漏洞问题,关键是加强输入验证和过滤。开发人员应该使用参数化查询或者存储过程等安全的数据库访问方法,避免将用户输入直接拼接到SQL语句中。另外,及时更新和修补系统,确保使用的是最新的正版软件版本,避免因为已知的漏洞而被攻击。 同时,系统管理员需要加强对系统配置的安全性管理,要合理设置管理员账号和密码的复杂度,并经常修改密码。此外,及时监测和审计系统日志,及时发现任何可疑的SQL注入行为,并及时采取措施。 综上所述,正方教务管理系统SQL漏洞是一种常见的安全问题,但通过加强输入验证和过滤、更新系统和修补漏洞、加强对系统配置的安全性管理等方法,可以有效预防和解决这一问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值