正方教務管理系統作爲正方軟件的主打產品,從其官網瞭解到——截止至2012年10月,已有1,000餘所高校使用了其數字化校園信息平臺。從百度的最新檢索結果也可見,成片成片的高校目前正在使用該教務系統。
經筆者測試,大多數高校的正方教務系統版本都存在該漏洞,在教務系統的網址後加上/log/2018-01-04-log.txt或者/log/2018-01-04-Errorlog.txt,便可以下載到2018年1月4日的日誌文件,同理改成其他日期均可。該日誌保存了登錄系統的用戶名、加密後的密碼、IP地址和進行的操作,屬於敏感文件。但是卻允許所有用戶查看下載,隱私暴露,不夠安全。
