VULHUB ™

### 简要描述： 老师的密码是初始密码，未更改。 ### 详细说明： 通过查询老师的工号，用初始密码123456即可登录，可随意更改成绩，危害极大。 google：inurl：/jwweb/ 有很多。 [<img src="https://images.seebug.org/upload/201405/1914190730c5299bebe59653b9ce933eb20c3740.jpg" alt="QQ图片20140519133509.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1914190730c5299bebe59653b9ce933eb20c3740.jpg) [<img src="https://images.seebug.org/upload/201405/191419240a892e13d75c0b0a802442388b287f7b.jpg" alt="QQ图片20140519133524.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191419240a892e13d75c0b0a802442388b287f7b.jpg) ### 漏洞证明： 就拿我的学校来测试吧：http://jwc.scac.edu.cn/jwweb/ 通过课表查询老师的工号 [<img src="https://images.seebug.org/upload/201405/19142110cf6c8834047b472b62d4a8742f31f486.jpg" alt="QQ图片20140519133712.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19142110cf6c8834047b472b62d4a8742f31f486.jpg) [<img...

### 简要描述： 老师的密码是初始密码，未更改。 ### 详细说明： 通过查询老师的工号，用初始密码123456即可登录，可随意更改成绩，危害极大。 google：inurl：/jwweb/ 有很多。 [<img src="https://images.seebug.org/upload/201405/1914190730c5299bebe59653b9ce933eb20c3740.jpg" alt="QQ图片20140519133509.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1914190730c5299bebe59653b9ce933eb20c3740.jpg) [<img src="https://images.seebug.org/upload/201405/191419240a892e13d75c0b0a802442388b287f7b.jpg" alt="QQ图片20140519133524.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191419240a892e13d75c0b0a802442388b287f7b.jpg) ### 漏洞证明： 就拿我的学校来测试吧：http://jwc.scac.edu.cn/jwweb/ 通过课表查询老师的工号 [<img src="https://images.seebug.org/upload/201405/19142110cf6c8834047b472b62d4a8742f31f486.jpg" alt="QQ图片20140519133712.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19142110cf6c8834047b472b62d4a8742f31f486.jpg) [<img src="https://images.seebug.org/upload/201405/191421307f76a2c0cb86f28c4f5c2f974a246b84.jpg" alt="QQ图片20140519132353.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191421307f76a2c0cb86f28c4f5c2f974a246b84.jpg) [<img src="https://images.seebug.org/upload/201405/19142155e209bc8e9162f0db664e3659c892fa44.jpg" alt="QQ图片20140519132443.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19142155e209bc8e9162f0db664e3659c892fa44.jpg) 可以录入成绩 [<img src="https://images.seebug.org/upload/201405/191422216fa9d3a322fc01e2a73537d4f9f29245.jpg" alt="QQ图片20140519134126.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/191422216fa9d3a322fc01e2a73537d4f9f29245.jpg) 查询任意老师的工号，通过查询教室课表 [<img src="https://images.seebug.org/upload/201405/19142340c95f8a211b02ee2687749067b04506e0.jpg" alt="QQ图片20140519134703.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/19142340c95f8a211b02ee2687749067b04506e0.jpg) 昨晚尝试了十几个老师的工号，都登陆成功。 http://222.90.77.238/jwweb/ http://218.19.119.231/jwweb/ http://rz.wybu.cn/jwweb/ http://202.201.162.136/jwweb/ http://222.56.16.90/jwweb/ http://221.208.0.95/jwweb/ http://xuanke.shupl.edu.cn/jwweb/ http://jwgl.llhc.sx.cn/jwweb/ http://211.67.81.71/jwweb/ http://jwxt.asu.edu.cn/jwweb/ 等等，就不用列举了。