一测试成绩查询网的开发者被指将考生数据直接写在源码里

iso60001  49天前

昨晚开始程序员圈子里突然被陕西普通话等级查询网刷屏,这个非常简陋的网站为什么突然引起大量程序员关注?当该网站的源代码被打码截图发出后无疑引起无数程序员震惊,这个网站竟然把所有考生数据直接写在源代码里!

也就是任何人不需要经过任何验证直接查看源代码即可访问考生信息,无数码农吐槽这个网站的程序员不负责任。


22.png

数据直接写入源代码是什么操作?

正常情况下这类查询网站需用户输入自己的信息然后提交查询请求,核对信息无误后服务器从数据库里返回数据。这种方式可以保证所有用户只能查询自己的信息,因为别人不知道用户的数据因此无法也无法通过数据库的验证。而陕西省普通话水平测试查询系统直接把考生关键信息放在源代码里,任何人查看源代码后都可以直接查看数据。数据包括考生的照片、身份证号、准考证号、院校以及其他信息,这无疑会造成大量考生的隐私信息被直接泄露。

33.png

连源代码都是复制百度知道的:

有网友经过查证后发现即便是这些简单的静态代码都不是程序员自己写的,而是复制 2009 年百度知道示例代码。这些示例代码由百度知道用户 wrr717 在回答用户提问时编写的,可以实现按照不同的查询内容跳转到不同页面。而负责开发陕西省普通话水平测试查询系统的程序员直接复制这段代码,然后把用户数据写入页面里进行跳转等。这种查询方式可能连程序员最基础的知识都不知道,而这种人竟然还能开发这类考试结果查询网站让人匪夷所思。


44.png

图像来自知乎@NullPointer

不过网站真假暂时还有待验证:

蓝点网对该网站进行查询后发现网站没有备案服务器托管在香港,因此具体是否是陕西官方机构的网站暂不确定。同时我们查询到目前陕西省普通话水平测试查询系统主要是科大讯飞提供支持的,科大讯飞提供的网站没有问题。

从源代码里我们可以看到这个泄露考生数据的网站页面是从科大讯飞复制的,然后修改网页源代码写入用户数据。如果是好事者不太可能会直接拿到这么多考生的数据,如果网站属于黑客那么黑客更不可能会直接公开这些数据。

所以综合来看这个泄露考生数据的网站应该还是外包公司开发的,至于具体用途或者面向的用户暂时也无法确定。目前已经有很多程序员前往工信部举报这个网站泄露公民信息,域名暂时被西维数码暂停解析但似乎还可以访问。


55.png

网页模板复制科大讯飞然后源代码写入数据:

66.png


◆来源:蓝点网

◆本文版权归原作者所有,如有侵权请联系我们及时删除


最新评论

昵称
邮箱
提交评论

友情链接:FOFA FOEYE BCSEC BAIMAOHUI 安全客 i春秋

nosec.org All Rights Reserved 京ICP备15042518号