[北大医学部重大网络安全漏洞]【已经全部修复】 - 医学部(HSC)版 - 北大未名BBS
返回本版
1
2
3
4
5
6
下一页 >
/ 6
跳转

[北大医学部重大网络安全漏洞]【已经全部修复】

[复制链接]
楼主

Bigscience [离线]

Doublefire.Chen|爱折腾

2.8主序星

发帖数:2542 原创分:0
<ASCIIArt> 1楼

警告!警告!警告!

⚠️⚠️⚠️

经电话咨询确认及官网公告(见最后一张图)显示,官方正在对漏洞进行修补

北京大学医学部网站安全测试业余版最新报告:

截至2022年03月28日,据站友线索和lz自查,北京大学医学部不安全网站今日新增确诊0例,现有确诊病例1例,其中重症病例0例(直接明文传输账号密码的网站为重症站),累计升级改造4例,累计关站0例,累计报告确诊网站5例,现有疑似病站0例。累计追踪到密切接触者0站,尚在观察的密切接触者0站。

涉及网站:(排名按确诊时间顺序)

1、北京大学医学部校园网认证系统:its.bjmu.edu.cn(感谢@xuziling同学的提醒,北京大学医学部网络安全与信息化技术中心相关工作人员已经修复漏洞,现在变成了https协议)(相关工作人员可能有些害羞,没有直接回帖,在这里还是很感谢他们解决了问题)(已修复)

2、PBL教学平台-后台登录:pbl.bjmu.edu.cn(感谢@YOUzheng同学的补充,经测试,该网站同样存在明文直接传输账号密码问题,希望北京大学医学部网络安全与信息化技术中心相关工作人员趁热打铁,修复所有漏洞)(已修复)

3、综合服务平台:apps.bjmu.edu.cn(密码虽有动态加密,但是账号密码错误时直接返回密码的明文)(已修复)

4、选课网:xsxk.bjmu.edu.cn(仅有前端加密,使用密文即可实现用户登录)(已修复)

5、北京大学基础医学院创新人才项目 :jccx.bjmu.edu.cn(感谢@YOUzheng同学和@ZHSHT同学的补充,经测试,该网站也存在明文直接传输账号密码问题,希望北京大学医学部网络安全与信息化技术中心相关工作人员趁热打铁,修复所有漏洞)(另外,该网站明明是bjmu.edu.cn的域名后缀,为啥我无法通过校园网局域网访问,导致我一直以为是该网站在维护,直到我用手机登陆才发现必须要连接广域网才能访问这个网站)(已修复)

(太长不看版:这5个网站都是http协议,非常不安全,强烈建议升级为https,官方升级进度:5/5)

(这句话是我之前写的,现在发现不对)

PS: 综合服务平台(apps.bjmu.edu.cn)和选课网(xsxk.bjmu.edu.cn)虽然都是http协议,但是传输的密码经过加密处理(虽然以我的能力破解不出来,不过也许有大佬能破解,最好还是一起升级成https吧)

(是我太天真,之前还认为这两个网站可以凑合用,但是现在我发现这两个网站也有很大的漏洞,详见下文)

前情提要:

本人在进行校园网认证时发现该网站所使用的是http协议,谷歌浏览器总是显示“不安全”

众所周知,http协议是明文传输,一开始我以为该网站会有加密函数处理后传输,但是我还是不放心,于是抱着试一试的心态在本地测试了一下。

我运行了抓包工具后,进入its.bjmu.edu.cn后输入用户名:test,密码:123456,然后停止抓包,找到post的http包,发现test和123456赫然在目!好家伙,竟然敢直接明文传输!(详情见附件图片)

如果该漏洞被别有用心的人利用,进行arp欺骗的中间人攻击(甚至直接打造一个钓鱼WiFi就可以)获取同学们的账号和密码,相当于直接获取了门户的账号密码,其严重后果不言而喻。

在此,我强烈呼吁北京大学医学部网络安全与信息化技术中心提高校园网认证网站的安全性(如使用https协议,或者写一个加密函数),与此同时,建议医学部的同学提高警惕,在学校完成升级改造之前尽量少输入密码进行认证如担心密码泄露,赶紧去修改密码。

新章节:

综合服务平台(apps.bjmu.edu.cn)和选课网(xsxk.bjmu.edu.cn)这两个网址虽然都有前端加密,前端加密的js函数也经过混淆处理,但是还是存在严重的风险

因为后来我了解到,对于只有前端加密的网站而言密文就可以登陆,我在想这两个网站是不是也是这样呢?

于是,我抱着试一试的心态,用虚拟机创建了一个钓鱼WiFi,用我自己的手机连接了该WiFi,监听端口开启后,我邀请了我的两位好兄弟(bbs_id:@ddvdv和@dysyyds)加入了测试。

我用手机进入xsxk.bjmu.edu.cn,让ddvdv输入账号密码,然后我截获了相关包,账号是明文,密码是密文,接着在自己的电脑上输入他的账号,随便输了一个密码,然后利用抓包软件篡改了电脑向服务器发送的包(即将错误的密文改成了正确的密文),然后登陆成功,我问他这是你的选课网吗,他看了看说是的。好家伙,居然只有前端加密!并且我发现该加密函数是静态的,也就是说一个明文对应一个密文,如果算力足够,根据前段函数穷举出一本字典来解码密文也不是没有可能的。

然后是apps.bjmu.edu.cn,我发现这个网站也存在很大的漏洞,我甚至能直接得到密码明文。因为这个网站如果你的账号密码输入正确,那密码就会被加密传输(账号是明文传输),并且加密函数还是动态的,同一个密码输入两次得到的密文还不一样,还撒过盐(尽管它的前端代码里会告诉你盐的值是多少,但是不管他撒多少盐,就算它不把盐的值写出来也没用,因为他有个离谱的设定),真正的漏洞在于当你的账号密码输错以后,账号和密码的明文都会被保存在包里。于是,新的破解思路产生了。

我用手机进入apps.bjmu.edu.cn,让dysyyds输入账号密码,然后我截获并修改了手机向服务器post的包,我故意将账号改错,然后给服务器造成账号密码输错的假相,最后在login的包里面发现密码的明文,我问他这是不是你的密码,他看了说是的。这个动态加密确实让我挺头痛的,但是这个密码错误自动保留明文的设计也太不合理了吧。

继续等待北京大学医学部网络安全与信息化技术中心相关工作人员完成对所有不安全的学校网站进行升级改造。

郑重承诺:本人基于本地环境进行测试,钓鱼WiFi只有自己的手机连接过,未获取任何除本机之外的数据包。

签名档

It doesn't matter whether I am a Hung Hing boy or not. But Chan Ho Nam is always my brother.  ——<young and dangerous >


 最后修改于2022-06-08 18:28:57
  • 发表于2022-02-25 16:00:56

Tavstar [离线]

木偶先生

2.3剑豪

发帖数:265 原创分:0
<ASCIIArt> 2楼

顶一下

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

签名档

医学部--渣渣--科研狗--土博

人生多体验体验生活总是好的。

发表于2022-02-25 20:17:23

pomang [离线]

R|M🧐

3.8中级站友

发帖数:1106 原创分:0
<ASCIIArt> 3楼

看看

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

发表于2022-02-25 20:28:57

lcdlyxrqy [离线]

忘川蒿里|小落叶

8.9宇宙

发帖数:2.7万 原创分:2
<ASCIIArt> 4楼

卧槽?

这要是真的可以说是活久见了……

用http页面直接让人输账号密码的见一个可以拖出去斩一个没想到贵校内部还有内鬼……

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

发表于2022-02-25 20:56:28

NanamiChiaki [离线]

NanamiChiaki

2.9波斯猫

发帖数:144 原创分:0
<ASCIIArt> 5楼

这随便找个信科学生都比相关人员水平高吧

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

签名档

遠路應悲春晼晚 殘宵猶得夢依稀

发表于2022-02-25 21:01:01

YOUzheng [在线]

奔波儿灞

2.3一般站友

发帖数:160 原创分:0
<ASCIIArt> 6楼

事实上北医很多这样的网站都是http协议,例如pbl网站,创新人才网站。

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

 最后修改于2022-02-25 21:10:39
  • 发表于2022-02-25 21:10:20

sxpeter [离线]

 

6.1狮子头饭

发帖数:9696 原创分:4
<ASCIIArt> 7楼

以前course.pku.edu.cn和dean.pku.edu.cn也是http

lcdlyxrqy (小落叶|人活着就是为了看松) 在 ta 的帖子中提到:

卧槽?

这要是真的可以说是活久见了……

用http页面直接让人输账号密码的见一个可以拖出去斩一个没想到贵校内部还有内鬼……

签名档

When life offers you a dream so far beyond any of your expectations,

it's not reasonable to grieve when it comes to an end.

发表于2022-02-25 21:32:39

lcdlyxrqy [离线]

忘川蒿里|小落叶

8.9宇宙

发帖数:2.7万 原创分:2
<ASCIIArt> 8楼

我本科的时候倒是没有特别注意过这个问题……

如果也是直接用http且没有任何加密的话那我对贵校相关部门的技术水平的认识又一次刷新了下限【

sxpeter ( ) 在 ta 的帖子中提到:

以前course.pku.edu.cn和dean.pku.edu.cn也是http

发表于2022-02-25 21:40:00

wangwade [离线]

Ray

3.3树袋熊

发帖数:379 原创分:0
<ASCIIArt> 9楼

顶一下,不明觉厉

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

签名档


发表于2022-02-25 21:44:25

kangkangcmr [离线]

kangkang

0.8白米饭

发帖数:18 原创分:0
<ASCIIArt> 10楼

顶一下

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

发表于2022-02-25 21:48:13

dysyyds [离线]

笑死

1.5一般站友

发帖数:95 原创分:0
<ASCIIArt> 11楼

顶帖

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

发表于2022-02-25 21:48:15

xibendan [离线]

熙||莫萧涵

3.6龙泉

发帖数:800 原创分:0
<ASCIIArt> 12楼

顶!

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

发表于2022-02-25 22:09:59

WekFer [离线]

芒果:欢迎来 Story 版玩耍~

4.8主序星

发帖数:7748 原创分:4
<ASCIIArt> 13楼

讲个笑话,世界一流大学

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

发表于2022-02-25 22:13:19

intlsy [离线]

intlsy

1.9小花猫

发帖数:304 原创分:1
<ASCIIArt> 14楼

顶一个!

真想不到,现在这么重要的网站居然还在用 http.... ? 那岂不是随便开个热点,抓个包,就寄了...

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

发表于2022-02-25 22:35:35

keithleo [在线]

萨达哈鲁|IME13

4.8维尼熊

发帖数:6271 原创分:10
<ASCIIArt> 15楼

离谱。。。

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

签名档

A raindrop falls on sadaharu

发表于2022-02-25 22:54:24

liuyunzePOI [离线]

这就是街舞——看汤姆猫跳舞

2.2一般站友

发帖数:108 原创分:0
<ASCIIArt> 16楼

【此帖投稿老胡模仿大赛,致敬我最喜欢的一位媒体人士:老胡】

近几天,有关于医学部网络漏洞的问题频频刷屏。对于这个问题,老胡想说,希望大家能够给有关部门一点时间,让子弹再飞一会儿。众所周知,高校互联网建设是一个循序渐进的过程中,在这个阶段中,出现问题是在所难免的;而且高校后勤机关的行政老师多在40岁以上,对新兴的互联网技术了解不够,有很多的欠缺,这是需要提升的。有很多同学的互联网知识掌握得比这些老师要好,这也是非常好的现象,同学能够指出高校后勤机关的问题,也就能促进后勤机关的不断进步。老胡注意到,有一些声音可能是比较偏激的,老胡理解这一部分人的情绪,大家都情绪都是比较激动的,发出稍微偏激的声音也是无可厚非的。但总的来说,老胡还是希望整个事件能够健康地发展,问题能够顺利地解决,这对我们所有人来说都是一种提升与进步。

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

发表于2022-02-25 23:41:43

UDK [离线]

宇月幸成

2.0一般站友

发帖数:658 原创分:0
<ASCIIArt> 17楼

🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣🤣

test 123456也太典了


Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

签名档

あああああああああ!!忘れてたああああ!

 最后修改于2022-02-25 23:54:21
  • 发表于2022-02-25 23:53:55

idiocratic [离线]

CastleStar14654

3.3树袋熊

发帖数:438 原创分:0
<ASCIIArt> 18楼

@PKUCC 虽然不归你们管,但能帮忙通告一下医学部吗?

Bigscience (Doublefire.Chen) 在 ta 的帖子中提到:

警告!警告!警告!

⚠⚠⚠

涉及网站:北京大学医学部校园网认证系统:its.bjmu.edu.cn

……

发表于2022-02-26 00:02:24

ddvdv [离线]

寒冬夜行人|一个魂儿

1.8主序星

发帖数:75 原创分:0
<ASCIIArt> 19楼

老Tom中肯

liuyunzePOI (这就是街舞——看Tom猫跳) 在 ta 的帖子中提到:

【此帖投稿老胡模仿大赛,致敬我最喜欢的一位媒体人士:老胡】

近几天,有关于医学部网络漏洞的问题频频刷屏。对于这个问题,老胡想说,希望大家能够给有关部门一点时间,让子弹再飞一会儿。众所周知,高校互联网建设是一个循序渐进的过程中,在这个阶段中,出现问题是在所难免的;而且高校后勤机关的行政老师多在40岁以上,对新兴的互联网技术了解不够,有很多的欠缺,这是需要提升的。有很多同学的互联网知识掌握得比这些老师要好,这也是非常好的现象,同学能够指出高校后勤机关的问题,也就能促进后勤机关的不断进步。老胡注意到,有一些声音可能是比较偏激的,老胡理解这一部分人的情绪,大家都情绪都是比较激动的,发出稍微偏激的声音也是无可厚非的。但总的来说,老胡还是希望整个事件能够健康地发展,问题能够顺利地解决,这对我们所有人来说都是一种提升与进步。

发表于2022-02-26 00:39:12
楼主

Bigscience [离线]

Doublefire.Chen|爱折腾

2.8主序星

发帖数:2542 原创分:0
<ASCIIArt> 20楼

可以汇总一下,一一测试,最后来个总反馈,争取学校相关部门对全部不安全的http网页进行改造。同学方便发个链接吗?我没用过pbl网站和创新人才网站。

YOUzheng (奔波儿灞) 在 ta 的帖子中提到:

事实上北医很多这样的网站都是http协议,例如pbl网站,创新人才网站。

发表于2022-02-26 07:25:45
返回本版
1
2
3
4
5
6
下一页 >
/ 6
跳转

请您先 登录 再进行发帖

快速回复楼主
标题
建议:≤ 24个字
签名档
发布(Ctrl+回车)

您输入的密码有误,请重新输入