事情是这样的。上个月底,我参加了重庆工商大学第三届程序设计大赛,并一举拿下一等奖,并拿到参加重庆市大学生程序设计大赛的资格。这是该项大赛首次有大一年级同学参加,也是首次有大一年级同学获得一等奖(就是我)。
我真 nb
咱参加比赛,肯定不仅仅是为了参加比赛而参加比赛,还是要继承一下大学生的传统 —— 要加加学分。
按照我们学校的规定,“新儒商” 学分(第二课堂学分)的申请是在一款叫做 “青春工商大” 的系统上进行的。
按照操作手册,我打开先进的 “青春工商大” 系统,来到首页,看到异常熟悉的 UI 风格,陷入美好的回忆…
啊这… 该不会……
这怎么跟 MUI 这么像(其实就是)啊
这让我想起了曾经用 BlueBird 写项目的那段美好的日子。在那段美好青涩的时光 (我是说我初中)…… 一转眼就初中毕业了,班主任让我收集一下班上同学的中考成绩。那个时候可没有腾讯文档收集表,于是我用 BlueBird 开发了一款毕业生信息录入系统,嗯,是非常安全的纯前端的……
啊…纯前端?该不会… 这不应该吧…
它还真就是纯前端的,无任何鉴权,就能随意访问各个账户的数据。还能访问管理员……
来都来了,今天就让我用纱布擦屁股,给大家伙来露一手吧
看我变身管理员:
不需要任何密钥,只需要你知道一个具有管理员权限的 userid(学工号),就能畅游青春工商大的海洋。真美妙
由于该系统槽点太多,不好一一列举,因此我随便提几个:
- 整个系统无任何鉴权环节,且数据全为明文传输。这是开发的大忌,不需要解释。这就相当于你家门锁的密码是你家人的名字,别人知道你家人的名字就能进来。
- 整个系统采用纯前端开发。好家伙,这个虽说不上是大忌,但就我初中的时候也不敢这样开发啊
界面太丑
总体来说,我对这个系统的评价可以用下方的解析图概括一下:
实在难以想象到一个关乎到学生能否正常毕业的学分管理系统,竟是如此的脆弱。如果真有一天某位有心人想对这个系统里任意一位同学的数据进行操作,那这个系统的安全防护真的算是不堪一击,而且,或许这可能以前就已经发生过了,只是我们不知道而已,毕竟这个系统甚至还没有操作日志的记录。
作为一名好学生,我已第一时间在这个小系统内向分团委报告该系统的安全性缺陷,期望分团委早日看到 (应该会在很久后才能看到,正好这段时间我们还可以学习一下这个系统)。
如果分团委没有注意到的话,那就等我 12 月底闲下来了再向学校相关部门报告吧。