事情は次のようになっています。先月末、私は重慶工商大学の第 3 回プログラミングコンテストに参加し、一等賞を獲得し、重慶市大学生プログラミングコンテストに参加する資格を得ました。このコンテストには初年度の学生が参加するのは初めてであり、初年度の学生が一等賞を獲得するのも初めてです(私のことです)。
私は本当にすごいです
私たちは競技に参加するだけでなく、大学生の伝統を引き継ぐためにも、学分を追加しなければなりません。
私たちの学校の規定によれば、「新儒商」学分(第二外国語学分)の申請は、「青春工商大」というシステムで行われます。
操作マニュアルに従って、私は先進的な「青春工商大」システムを開き、ホームページに移動し、非常に馴染みのある UI スタイルを見て、素敵な思い出に浸りました...
ああ、これは... 本当に...
これは MUI と本当に似ています(実際には)。
これは、かつて BlueBird でプロジェクトを作成した美しい日々を思い出させます。その美しく青々とした時代(中学生のことです)... あっという間に中学校を卒業しましたが、クラスの担任はクラスメートの中学入試の成績を集めるように私に頼みました。その時はテンセントドキュメントの収集フォームはありませんでしたので、私は BlueBird を使用して卒業生情報入力システムを開発しました。ええ、非常に安全なフロントエンドのみのものです...
ああ...フロントエンドのみ?これはおかしいです...
それは本当にフロントエンドのみで、認証もなく、各アカウントのデータに自由にアクセスすることができます。管理者にもアクセスできます...
来た以上、今日は私がお尻を拭くためにガーゼを使って、みんなに見せてみましょう
私が管理者に変身するのを見てください:
鍵は必要ありません、ただし、管理者権限を持つ userid(学生番号)を知っていれば、「青春工商大」の海を自由に泳ぐことができます。本当に素晴らしい
このシステムには多くの問題があるため、一つ一つ列挙するのは難しいですが、いくつか挙げてみます:
- システム全体に認証プロセスがなく、データはすべて平文で送信されます。これは開発の大きな過ちです。説明する必要はありません。これはまるで家の鍵のパスワードが家族の名前であるかのようで、他の人が家族の名前を知っていれば入ってくることができます。
- システム全体がフロントエンドのみで開発されています。まあ、これは大きな過ちとは言えませんが、私が中学生の頃はこんな風に開発することはできませんでした。
インターフェースが醜い
全体的に言えば、私はこのシステムについての評価を以下の解析図でまとめることができます:
学生の正常な卒業を左右する学分管理システムが、こんなにも脆弱であることは想像もつきません。もしもある日、誰かがこのシステム内のどの学生のデータでも操作したいと思ったら、このシステムのセキュリティは本当に脆弱であり、また、おそらくこれは以前にも起こっていたかもしれませんが、私たちはそれを知らなかっただけです。なぜなら、このシステムには操作ログすらありません。
私は優等生として、この小さなシステム内でセキュリティ上の欠陥を学生連合に報告しました。学生連合が早く気づくことを期待しています(おそらく長い時間がかかるでしょうが、この期間中に私たちはこのシステムを学ぶことができます)。
もし学生連合が気づかなかった場合は、私が 12 月末に時間ができたら、学校の関連部門に報告します。