分享漏洞：
披露状态：
： 细节已通知厂商并且等待厂商处理中
： 厂商已经确认，细节仅向厂商公开
： 细节向核心白帽子及相关领域专家公开
： 细节向普通白帽子公开
： 细节向实习白帽子公开
： 细节向公众公开
简要描述：
今天我看到提交淘宝网信息泄露的两个漏洞
http://www.wooyun.org/bugs/wooyun-
http://www.wooyun.org/bugs/wooyun-
通过审核了，好开心啊
今天是6月4号，6月7号我就要参加高考了
淘宝网都会泄露信息，不知道高考那个网上报名系统会不会也泄露信息呢
结果，我发现了广东省教育考试院不恰当的设置会让广东考生信息泄露（准考证、成绩证书的一寸头像、准考证号），这个泄露，会很大影响考生的报考、个人资料安全、甚至财产安全，或者大学录取等。
我也是这一届的考生，提交这个漏洞，这也算我为学弟学妹们出点力吧！
广东省教育考试院不恰当的设置会让广东考生信息泄露（准考证、成绩证书的一寸头像、准考证号），这个泄露，会很大影响考生的报考、个人资料安全、甚至财产安全，或者大学录取等，我也是这一届的考生，这也算我为学弟学妹们出点力吧！
详细说明：
code 区域我怕又像上次提交盛大漏洞那样
图片传不上
所以传了一份到X度网盘
解压密码是
3e8cfedf203ac9f6d118c
链接: /s/1c0gVKCK 密码: asrv
如果我这次提交的漏洞图片上传有问题，麻烦管理大大酌情处理下，O(∩_∩)O谢谢
如果图片正常，麻烦删除这段去啦O(∩_∩)O谢谢
今天我看到提交淘宝网信息泄露的两个漏洞
通过审核了，好开心啊
今天是6月4号，6月7号我就要参加高考了
淘宝网都会泄露信息，不知道高考那个网上报名系统会不会也泄露信息呢
结果，我发现了广东省教育考试院不恰当的设置会让广东考生信息泄露（准考证、成绩证书的一寸头像、准考证号），这个泄露，会很大影响考生的报考、个人资料安全、甚至财产安全，或者大学录取等。
我也是这一届的考生，提交这个漏洞，这也算我为学弟学妹们出点力吧！
广东省教育考试院不恰当的设置会让广东考生信息泄露（准考证、成绩证书的一寸头像、准考证号），这个泄露，会很大影响考生的报考、个人资料安全、甚至财产安全，或者大学录取等，我也是这一届的考生，这也算我为学弟学妹们出点力吧！
#下面是广东考生敏感信息泄露的漏洞#
今天我看到提交淘宝网信息泄露的两个漏洞
通过审核了，好开心啊
今天是6月4号，6月7号我就要参加高考了
淘宝网都会泄露信息，不知道高考那个网上报名系统会不会也泄露信息呢
先去网上报名系统
http://www./
*.，教育部门的官方网站哦！
高档大气上档次！低调奢华有内涵！
谷歌浏览器真好，帮我记住密码了，班主任再也不用担心我忘记密码啦
我是帅哥呢还是帅哥呢还是帅哥呢？哈哈，本来想下载这个照片下来的
呃，这个路径，文件名居然是我的“考 生 号”！！！
我把准考证号码+1，试试能不能看到同学的照片！！
(⊙o⊙)…我和我的小伙伴都惊呆了耶
再来一张看看，我把准考证号码-41，试试能不能看到同学的照片！！
(⊙o⊙)…我和我的小伙伴都惊呆了耶
再来一张看看，我乱填一个准考证号码，试试能不能看到同学的照片！！
(⊙o⊙)…我和我的小伙伴都惊呆了耶
是不是要登陆后才能这样操作呢?我先退出我的账号
嗯，退出了，我（按后退）返回刚才的页面看看
按住Ctrl + F5刷新时，系统叫我重新登陆，我就不登陆了（我是乖宝宝，只听爸爸妈妈爷爷奶奶老师的话哦）
本来到这里，应该就可以提交漏洞了。为了提供更有力的证据，我下载了最新版迅雷（感动有木有？Rank有木有？礼物有木有）
呃，我想起了我提交给迅雷的漏洞：
安装好迅雷，我创建一个批量下载任务
创建一次恰好可以下载1000份资料
呃，那我就开始下载了
呃，我还是不登陆了吧，免得把文件分享出去，（好像啥P2P分享啥的，我不太懂，还是不登陆好点，少点经验值也没事！）（感动有木有？Rank有木有？礼物有木有）
(⊙o⊙)…我和我的小伙伴都惊呆了耶
(⊙o⊙)…我和我的小伙伴都惊呆了耶
(⊙o⊙)…我和我的小伙伴都惊呆了耶
漏洞证明：
(⊙o⊙)…我和我的小伙伴都惊呆了耶
(⊙o⊙)…我和我的小伙伴都惊呆了耶
(⊙o⊙)…我和我的小伙伴都惊呆了耶
(⊙o⊙)…我和我的小伙伴都惊呆了耶
修复方案：
本来我只想说一句：“你们比我更专业”
但是想一想，难得有一次露面的机会
还是说一下我的思路啦，希望能有抛砖引玉的效果
呃，加密文件名，或者在文件名后面加参数，比如准考证3的，图片可以是3_MDg5ODc0NTYzMjEyMw_623919cfa633b6cf72feffa4d675b0f3.jpg
又或者读取这些敏感信息前，能判断下cookie、最起码限制单IP请求数吧？1000份文件，我几分钟就下好了。。
最后弱弱问一下，高考加分有木有（呃，开玩笑的啦）
版权声明：转载请注明来源 @
厂商回应：
危害等级：中
漏洞Rank：6
确认时间： 15:21
厂商回复：
非常感谢您的报告。
报告中的问题已确认并复现。
影响的数据：中
攻击成本：低
造成影响：中
综合评级为：中，rank：6
正在联系相关网站管理单位处置。
最新状态：
漏洞评价：
对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值
漏洞评价(共0人评价):
登陆后才能进行评分
还在四年级的小学生路过，表示关注
高考加油哦
&会让广东考生敏感信息泄露&，让我想起了高中那些贴满狗屁膏药段子的议论文。。。
都高考了还挖洞，精神可嘉
漏洞废话太多 洞主作文可不能这么写
洞主精神可嘉，祝你高考成功- -
@xsser 哈哈，估计写作文的时候凑字数养成的习惯
高考加油！
漏洞废话太多 洞主作文可不能这么写
攻击成本：低
话说，不用任何成本的好不==
@ddy 所以攻击成本低啊
@广东省信息安全测评中心 求礼物~~~~(&_&)~~~~
@广东省信息安全测评中心 @ddy 高考面试了。。。。。清北浙走起
我的三个乌云币啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊
洞主图片处理的很给力..
洞主的班主任路过…
@dlevr 我又没有赚得到
@从容 老湿您好！
@ddy 把照片让我看看可好
@dlevr 仅售30个乌云币 /偷笑
@ddy 卧槽 这么黑
@魇 惊世奇男子！
登录后才能发表评论，请先传真：0广州
020-深圳 1媒体合作
友情链接：}