在校自己写了一个课程小程序,如何规避风险

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 433 天前的主题，其中的信息可能已经有所发展或是发生改变。

今年一月的时候突发奇想逆向了学校的教务系统,遂发现了一个平行越权的漏洞,可以实现只需要学号,就能获取到该学号下的周课程,考试成绩,期末考试信息.然后我没想着报告漏洞,而是利用这个漏洞做了一款小程序出来,最开始只是方便我自己寝室使用,但最近学校官方的 app 跟系统崩溃了几天,导致我的小程序也宕机了一阵,结果学校的漏洞接口好了,但是它的登入鉴权没好,所以我的小程序利用漏洞率先恢复致使涌入了一大批用户.

**对此想问下各位大佬一些问题:**

1. 因为我临近大四,马上不在学校,马上成为校外人士,如果出现一些法律问题,可能没有校内学生那么好处理,是否要去联系学校做个备案
2. 但是我利用的教务系统漏洞,如果跟学校谈,学校修复了漏洞,我这个小程序也就马上死了,我又不想夭折的那么快
3. 或者说我可以把源码卖给学弟学妹??让我回本一下认证费服务器啥的可行吗

第 1 条附言 · 2024-05-30 17:37:39 +08:00

下午去教务处谈了一下,学校持欢迎态度,你查可以,但是不能去改,遇到改的漏洞及时上报,不能泄露拿到的信息

漏洞

小程序

风险

35 条回复 • 2024-05-30 17:36:58 +08:00

1351161572

2024-05-29 21:32:55 +08:00

改成通过爬虫的方式获取课程信息好一点

yuzo555

2024-05-29 21:37:59 +08:00

提供侵入、非法控制计算机信息系统程序、工具罪
非法获取计算机信息系统数据罪
你还想用这个赚钱那妥妥坐实了

yeibdyxdxs

2024-05-29 21:42:58 +08:00

@1351161572 爬虫没有漏洞获取的快啊,还得要用户提供教务系统密码,学校两套教务系统,用爬虫的话得先去第一套拿到 token ，再去第二套拿信息,我现在能直接用学号去第二套获取信息

yeibdyxdxs

2024-05-29 21:47:22 +08:00

@yuzo555 从最开始交了 300 认证费到现在每个月服务器 20 块,也没想着回本了,浅当成一个项目经历吧,就是最近用户量激增让我不得不考虑一下风险了

1351161572

2024-05-29 22:08:21 +08:00

@yeibdyxdxs 超级课程表什么的都是爬的，应该风险小点

doommm

2024-05-29 22:19:32 +08:00

我感觉很刑

Kiriya

2024-05-29 22:33:04 +08:00

如果和导师熟的话申请个课题申请合法接口，并且把服务器及认证费用结一下然后把小程序上交给学校

xxxccc

2024-05-29 22:37:29 +08:00

这种事情我干过，利用漏洞爬了全校学生的成绩信息，然后做了一个小程序用于班级绩点排名。
然后把这个玩了一段时间没啥意思，就上报漏洞跑路了。

yeibdyxdxs

2024-05-29 22:52:46 +08:00

@d9e7381f 这个功能好像我也可以做做

serafin

2024-05-29 22:56:32 +08:00

不不不。这不是漏洞。学校系统有个 API 通过学号（无需鉴权）就可以获取周课程,考试成绩,期末考试信息。你只是给这个 API ，写了个 UI 而已。你就一口咬定没有利用漏洞，这就规避了风险 90% 的风险了。

xiadengmaX1

2024-05-30 08:45:51 +08:00

@serafin 这是你说了算的吗

KevinDo2

2024-05-30 08:54:04 +08:00

你写个免责声明，说所有数据皆为人工导入，可能存在错误，不承担任何责任。

whoosy

2024-05-30 09:11:49 +08:00

你是在玩火

XueXianqi

2024-05-30 09:22:53 +08:00

刑啊你小子，可狱不可囚啊，非常可铐！

ma836323493

2024-05-30 09:39:09 +08:00

查数据，又不是改数据，怕迪奥

proxytoworld

2024-05-30 10:13:02 +08:00

卖漏洞利用你这不进去都难了，你要么就再找一个提权的漏洞，这样可以提一个 src ，要么就扔那吧，把小程序关了。

proxytoworld

2024-05-30 10:17:52 +08:00

我以前在学校的时候发现学校 WiFi 登出只需要传一个 ip 参数，写了个脚本遍历 c 段，把全校都搞登出网络，玩了两次，然后在宽带群看他们说没网了，感觉也没啥意思，就把漏洞交给了老师

proxytoworld

2024-05-30 10:18:18 +08:00

@1351161572 如果服务器 down 了，找背锅的也能抓

xxxccc

2024-05-30 10:23:54 +08:00

@yeibdyxdxs 建议别搞，成绩这个东西还是比较敏感的。话说这个事情你也无法盈利，接口被封是迟早的事情，没法做到长期运营。

crz

2024-05-30 11:02:36 +08:00

1. 你从这个事上得利了吗，比如收费什么的
2. 别人因为这个事损失了吗，比如收费，比如预期会导致麻烦，比如被吐嘈面子上不好看。。。

MMM25O7lf09iR4ic

2024-05-30 11:09:08 +08:00

早点放手吧。。。在校轻则开除，不在校轻则直接就业特殊公务员。

pelloz

2024-05-30 11:16:03 +08:00

你在想啥呢，赶紧下架，删除代码，拒不承认。最多好心给教务处发个匿名邮件指出他们的漏洞。
我那个利用漏洞获利的学长被公安局从教室直接带走，可是吃了三年国家饭。当然他用的是腾讯的漏洞，你用的是学校的漏洞，但是性质没有区别！！

Light3

2024-05-30 11:16:18 +08:00

规避风险就是关了
等找到你的时候你说啥也没用

你这基本就是刑的
毕竟在未经授权的情况下侵入教务系统
而且获取学号就能获取各种信息
很刑跟灰产没有任何区别

body007

2024-05-30 11:23:19 +08:00

只需要学号就能获取信息，那么同学之间互查信息，是否构成侵犯隐私的行为。如果仍需要先登陆学校某系统才能看的话会好些（否则我作为用户肯定要举报的）。用户量越来越多，难保不会被学校知道，早点关了吧。

Mogugugugu

2024-05-30 11:26:34 +08:00

好家伙、、、别以为不改数据就没事，把服务器搞挂了或者数据泄露了，学校反手就会报警，一查一个准，不是你全责也会把你牵扯出来。。。

都大四了稳稳当当的毕个业吧，这玩意可能不会出事，但是一旦出事，你这 4 年白混，甚至有概率进去吃三年饭，想想你能承担这个后果吗？

RangerWolf

2024-05-30 11:28:14 +08:00

这么早就想吃皇粮吗？真刑啊你！

RangerWolf

2024-05-30 11:28:52 +08:00

当然了，富贵险中求，致富之路都已经写好给大家看了，看你自己了~

jimages

2024-05-30 11:34:48 +08:00

1. 这活我之前做过，日活 8k ，注册用户 3w 。不一样的是我让用户自己输入的教务密码，相对来说风险小一些。这个我们和教务处的老师沟通过，只要你不是恶意，问题不大。但最主要的问题不是这个。

2. 最主要的问题是你这个小程序不合规，你必须通过《教育移动互联网应用程序备案》，否则 APP 是不合规的，你都大四，就算是学校把你收归己有，也必须通过备案的。这个备案要求还挺高的。楼主可以看一下。

Jinnrry

2024-05-30 11:39:52 +08:00 via Android

我大学的时候，跟学校领导关系很好，当时我们学校教务系统很垃圾，每次选课都崩溃，然后我帮忙加了几个索引，改了一些存储过程，后来选课，查成绩基本不会奔溃了。那之后学校领导把学校财务，教育，学工的系统全部给我维护了。（甚至正方的维护人员都得听我管）

然后我就直接连数据库，写了一套成绩查询，课表查询，学校领导高兴得不行，还专门从学校机房弄了台服务器给我，然后每个月走勤工助学给我发几百块维护费