图 | 太原理工
e卡通
2018.12.1
今年刚开学的时候,学校下发通知,全校的校园卡系统进行整改,实现全校“一卡通”,校园卡余额以及消费记录查询系统也进行了更新,通知也要求每位太理同学下载“校园e卡通”这个APP,其实当时看到通知的第一反应就是“又要下载APP呀”,因为大一的时候参加活动就要求下载口袋校园,不下载的话参加的所有活动都不会获得学分,后来跑步又要求下载个运动世界校园,跑不够这个软件规定的公里数的话体育成绩会直接扣15分,只想送它一句话,“要善良啊~~~”。所以,下载学校要求的APP“校园e卡通”时,心里竟然有些莫名其妙的害怕。。。
1.初遇e卡通
安装好了校园e卡通并打开后,竟然被这个APP“可爱”到了,这个APP的整体UI和界面真的是“老的可爱”,整个风格像是十年前的产物,而且每次打开APP的时候封面还会有一句土味情话“真的爱她,电费也给她交了吧”
额。。。你这个APP有毒吧。。。所以相比于之前的那两个学校要求安装的APP,我对这个e卡通这个APP竟然莫名有些好感,虽然丑吧,但是没有广告呀。
但是考虑到有的同学可能真的不喜欢安装那么多APP,所以就决定把这个APP的功能做成网页放到我的公众号上,但是在这个过程中,我发现这个APP存在严重的安全问题。
2.抓包e卡通
其实把这个APP的功能自己做成一个网页思路方法很简单,就是找到这个APP向哪个服务器发送的请求,找到这个服务器后,你自己向这个服务器发送需要查询的账号密码,然后将这个服务器返回的数据处理后,再设计一个好看的前端,就完全可以达到这个APP的功能,甚至你还可以自己处理得到的数据实现比这个APP更多的功能,比如你可以通过消费记录来统计某个同学每天早上九点之前吃早饭的次数,如果很多天没有吃,可以适当的在网站上提醒他,积累一定用户的使用数据后,你也可以统计出哪个餐厅窗口每天的刷卡数最多,从而也可以做个排名,从而给一些每天不知道吃什么的同学一些参考,等等等。。。有了这些数据你可以做出很多好玩和实用的功能。
当然对于没有技术基础的同学来说,整个过程中最困难的地方就是如何知道APP向哪个服务器发送的请求,这个就要用到抓包工具了,抓包工具有很多,我比较推荐Fiddler,这个工具还是很强大的,我主要用它抓取手机的包,用Fiddler抓取手机的包网上的教程一搜一大把,感兴趣的同学可以自行上网查阅。通过Fiddler抓取校园e卡通后,发现这个APP主要是向http://202.207.245.234:9090这个IP地址发送请求,不同的操作也是在这个IP地址之后添加不同的参数,所以我就在电脑上的使用谷歌浏览器输入这个IP加上相应的参数,再使用谷歌浏览器自带的开发者工具就可以很方便的查看返回的各种数据了。
3.e卡通严重的安全问题
当发送某个指定的账号和密码后,按理说只能查看这个账号下对应的各种信息,但是出于好奇,我向e卡通的IP地址发送某些数据和进行某些操作后(因为文章发出时这个漏洞还存在,所以为了安全,具体操作我就不写出来了,其实就是歪打正着,并不是我多么厉害,而是e卡通的安全防护措施太差太差了),令人惊讶的一幕出现了,只需要学号这一个参数向e卡通的服务器发送请求,不需要输入密码,这个学号对应的学生的个人信息就全都返回来了,甚至包括银行卡号和身份证号。
所以我只需要一份全校同学的学号信息就可以知道全校同学的个人信息,整个操作只需要不到二十行Python代码就可以实现。
因为太理教务处的登陆密码就是每个同学的身份证后六位呀,要是得到基本信息的话岂不是可以登陆任意一个同学的教务系统啦嘛。还好我是一个遵纪守法的好同学,绝不会做出格的事情,但是要是有那种阴暗的人利用这个漏洞怎么办,先不说多么严重的,就说一个很现实的,万一有个阴暗的人选课的时候心仪的课程被选满了,那么他会不会登上其他选上这门课的同学的账号,删掉这个同学的选课记录,让自己心仪的课程腾出一个位置?说实话,这个事情咋们学校还真发生过,只不过不是利用漏洞,而是两个人是一个宿舍,一个人知道另一个人的账号密码罢了。
其实知道一个学生的学号,身份证,银行卡可能能干许多不好的事情,所以e卡通这个APP的安全问题真的很让人着急,最无辜的莫过于每个同学们了,自己明明什么都没有干,哪怕不去使用这个APP,哪怕自己改了密码,通过这个漏洞仍然可以使得自己的个人信息被泄露。
所以,虽然不知道学校为什么会选择这个系统,但是我想对这个系统的开发商说,不能因为你做成什么样可能都不担心软件的推广的问题,不能因为服务对象是学生,就敷衍了事,一点都不注重学生的隐私和安全问题,这样真的是极其不负责任的!希望这个漏洞可以尽快被修复!
4.结语
感谢一直以来关注我的公众号的每一位同学!感谢每一次转发,点赞我的文章的同学!感谢向周围同学推荐我的公众号的每一位同学,真的十分感谢!!!我的新的小程序也上线了,刷超星尔雅智慧树的同学如果找不见答案的话可以使用“answer合集”小程序,长按下面这个二维码可以直接体验。
领取专属 10元无门槛券
私享最新 技术干货