事情是這樣的。上個月底,我參加了重慶工商大學第三屆程式設計大賽,並一舉拿下一等獎,並拿到參加重慶市大學生程式設計大賽的資格。這是該項大賽首次有大一年級同學參加,也是首次有大一年級同學獲得一等獎(就是我)。
我真 nb
咱參加比賽,肯定不僅僅是為了參加比賽而參加比賽,還是要繼承一下大學生的傳統 —— 要加加學分。
按照我們學校的規定,“新儒商” 學分(第二課堂學分)的申請是在一款叫做 “青春工商大” 的系統上進行的。
按照操作手冊,我打開先進的 “青春工商大” 系統,來到首頁,看到異常熟悉的 UI 風格,陷入美好的回憶…
啊這… 該不會……
這怎麼跟 MUI 這麼像(其實就是)啊
這讓我想起了曾經用 BlueBird 寫專案的那段美好的日子。在那段美好青澀的時光 (我是說我初中)…… 一轉眼就初中畢業了,班主任讓我收集一下班上同學的中考成績。那個時候可沒有騰訊文檔收集表,於是我用 BlueBird 開發了一款畢業生資訊輸入系統,嗯,是非常安全的純前端的……
啊…純前端?該不會… 這不應該吧…
它還真就是純前端的,無任何鑑權,就能隨意訪問各個帳戶的資料。還能訪問管理員……
來都來了,今天就讓我用紗布擦屁股,給大夥兒來露一手吧
看我變身管理員:
不需要任何密鑰,只需要你知道一個具有管理員權限的 userid(學工號),就能暢遊青春工商大的海洋。真美妙
由於該系統槽點太多,不好一一列舉,因此我隨便提幾個:
- 整個系統無任何鑑權環節,且資料全為明文傳輸。這是開發的大忌,不需要解釋。這就相當於你家門鎖的密碼是你家人的名字,別人知道你家人的名字就能進來。
- 整個系統採用純前端開發。好傢夥,這個雖說不上是大忌,但就我初中的時候也不敢這樣開發啊
介面太醜
總體來說,我對這個系統的評價可以用下方的解析圖概括一下:
實在難以想像到一個關乎到學生能否正常畢業的學分管理系統,竟是如此的脆弱。如果真有一天某位有心人想對這個系統裡任意一位同學的資料進行操作,那這個系統的安全防護真的算是不堪一擊,而且,或許這可能以前就已經發生過了,只是我們不知道而已,畢竟這個系統甚至還沒有操作日誌的記錄。
作為一名好學生,我已第一時間在這個小系統內向分團委報告該系統的安全性缺陷,期望分團委早日看到 (應該會在很久後才能看到,正好這段時間我們還可以學習一下這個系統)。
如果分團委沒有注意到的話,那就等我 12 月底閒下來了再向學校相關部門報告吧。