由某处功能缺陷导致该系统的最高管理权限被获取，可控制38个市的业务系统、3个管理系统。

 

#1、收集信息

发现员工登录页面：http://zhiyinlou.com/Cas/login
 

得到管理员用户名：qx@xueersi.com
 

#2、找回密码处的功能缺陷

找回步骤的参数直接放在url中，且未经过任何校验，直接修改为step3，可导致跳过验证身份，直接重置密码。
 

管理员qx@xueersi.com的密码重置为test123。
 

#3、成功登录

管理员的权限可以控制38个市的培优业务系统和3个管理系统（新BI系统、网校学习卡系统、CRM管理系统）。
 

在培优业务系统中可对该市学而思集团的班级、教师、财务、优惠、单证、家校、评价、经验值、试题、权限、讲义、学员进行管理，可修改学员、教师、财务等数据，并泄漏大量培训资料。
 

实际测试过程中，系统要求安装插件，绑定MAC地址。证明危害的目的已达到，故未深入（这样对核心系统管理员的身份校验还是体现了很强的安全意识的，值得学习。）

CRM管理系统可对学科（讲座）、呼叫和服务中心、销售、客户、报表等进行管理，无二次身份校验。
 

#4、其他

Google得到的其他后台地址：http://www.zhiyinlou.com/admin/SysUsers/login
 

 

 

修复方案：

#1、修正找回密码处的逻辑问题。

#2、关键系统屏蔽搜索引擎爬虫。

#3、重置了管理员密码不好意思●﹏●

#4、未下载任何信息，求20rank，求不开除，求礼物~（本人学员）