本文關(guān)鍵詞：正方教務(wù)管理系統(tǒng)，由筆耕文化傳播整理發(fā)布。

：作者：

當(dāng)我們焦急緊張地輸入賬號(hào)和密碼進(jìn)入學(xué)校的正方教務(wù)管理系統(tǒng)查看成績時(shí)，有沒銷售工作總結(jié)有想過其實(shí)有可能我們的信息早已經(jīng)被別人看過了呢？甚至有可能被別人修改了呢？

  8月1日，記者登錄山東某高校網(wǎng)站，進(jìn)入該校使用的正方教務(wù)管理軟件，僅用一分鐘時(shí)間，使用一點(diǎn)“小竅門”，就看到了學(xué)生王某的密碼，再用其用戶名和密碼重新進(jìn)入，就能看到王某的上述信息。由于該系統(tǒng)的漏洞，即便王某更改密碼和用戶名，記者仍能通過簡單的“小竅門”看到。王某上萬名校友的信息，也和他一樣是透明的。

較早發(fā)現(xiàn)并將其在天涯社區(qū)曝光，是濟(jì)南大學(xué)08級(jí)網(wǎng)絡(luò)工程系學(xué)生梁志鋒。而根據(jù)“正方”公開的資料，全國有上千所高校使用該軟件。對此，山東省軟件評測中心副主任韓慶良說，該軟件的安全漏洞非常低級(jí)，存在嚴(yán)重的設(shè)計(jì)缺陷。

大學(xué)生有“小竅門”

咱有招提前查成績

20歲的小李是濟(jì)南某高校的大二學(xué)生。他們學(xué)校使用了杭州正方軟件股份有限公司設(shè)計(jì)的教務(wù)管理軟件。

小李說，從入學(xué)開始，每名學(xué)生都得到一個(gè)用戶名，并自己設(shè)置了密碼。通過用戶名登錄該系統(tǒng)，可查詢學(xué)校的公告以及個(gè)人考試成績。學(xué)生的家庭住址、身份證號(hào)碼、電話號(hào)碼等其他信息，也保存在系統(tǒng)中。

大一上學(xué)期期末考試后，小李急切想知道自己的成績。一位同學(xué)告訴她，通過一些小技巧，可以提前查詢老師發(fā)布的成績。在他們學(xué)校，這幾乎是一個(gè)公開的秘密。

昨天，記者在網(wǎng)上查詢發(fā)現(xiàn)，網(wǎng)上有很多有關(guān)正方教務(wù)管理軟件存在漏洞的帖子。有些學(xué)生還懸賞積分，希望找到提前查詢成績的方法。

一位自稱是廣東某大學(xué)正方教務(wù)管理系統(tǒng)的管理員，曾在2009年11月18日發(fā)帖稱，“盡管經(jīng)過反復(fù)修補(bǔ)，表面上各種功能、報(bào)表好像都有，其實(shí)幾乎所有報(bào)表都得人工核對、不得不通過腳本直接修改底層數(shù)據(jù)，一直以來問題不斷、解決無望、數(shù)據(jù)混亂、事故頻繁�！�

報(bào)料者演示

查信息改成績?簡單!

今年7月初，濟(jì)南大學(xué)08級(jí)網(wǎng)絡(luò)工程系學(xué)生梁志鋒在尋找提前查詢成績的方法時(shí)，發(fā)現(xiàn)了該系統(tǒng)存在更大的安全漏洞，并在天涯社區(qū)上發(fā)帖披露。

幾天前，，記者見到了梁志鋒。他向記者演示了查詢其他學(xué)生信息的全過程。

梁志鋒隨機(jī)選取了一家使用該軟件的濟(jì)南高校的官方網(wǎng)站。選定該校教務(wù)處，再通過鏈接進(jìn)入正方教務(wù)管理系統(tǒng)。登錄頁面有4種用戶類別，分別為部門、教師、學(xué)生和訪客。前三類需要使用用戶名和密碼登錄，每種身份的權(quán)限不同。訪客無需密碼便可進(jìn)入系統(tǒng)，但只能瀏覽公共信息。

他首先以訪客的身份登錄，又在網(wǎng)址上更改了幾個(gè)字母后，便擁有了查詢每名學(xué)生成績的權(quán)限。他又更換了網(wǎng)址上的幾個(gè)字母，便擁有了查詢學(xué)生密碼的權(quán)限。使用該學(xué)生的用戶名(學(xué)號(hào))和密碼，再重新登錄，便可得到學(xué)生在校登記的全部信息。“如果再研究一下，甚至還能更改學(xué)生的成績�！绷褐句h說，該軟件存在很大的安全漏洞，隱患集中在以下幾個(gè)方面：

第一，學(xué)生的個(gè)人信息沒有安全保證，很容易被人查到。第二，一般人喜歡使用固定的密碼，教務(wù)系統(tǒng)登錄密碼可能與自己的銀行卡密碼相同。不管是老師還是學(xué)校，有權(quán)限看到學(xué)生密碼，顯然不恰當(dāng)。第三，考試成績也可更改，給不法人員留了個(gè)“后門”。

記者試驗(yàn) 輕松“踏進(jìn)”山東某高校

關(guān)于正方教務(wù)管理軟件的安全漏洞，梁志鋒比較認(rèn)可這么一個(gè)比喻：一個(gè)人使用某網(wǎng)站的郵箱，該網(wǎng)站的后臺(tái)卻很容易被別人掌握，這就導(dǎo)致無論郵箱用戶怎么改密碼，別人都能通過后臺(tái)看到，從而可輕巧易冒用該郵箱地址和密碼。

梁志鋒說，他發(fā)現(xiàn)使用該系統(tǒng)的高校中，部分高校已修復(fù)了這個(gè)漏洞，說明軟件開發(fā)公司已知曉漏洞存在。既然這樣，為何不全部修復(fù)呢?“我也向軟件開發(fā)公司反映了這個(gè)情況，目前來看，還沒有多大效果。”梁志鋒說，部分已修復(fù)的高校，是使用域名重定向的方式，而此舉并不能從根本上解決問題。

梁志鋒還發(fā)現(xiàn)，如果用火狐、“GoogleChrome”等瀏覽器登錄正方教務(wù)管理系統(tǒng)，可查詢學(xué)生信息，但使用IE、360等瀏覽器登錄，便無法查詢。

按照這個(gè)方法，8月1日，記者登錄山東某高校網(wǎng)站，進(jìn)入該校使用的正方教務(wù)管理軟件，僅用一分鐘時(shí)間，使用一點(diǎn)“小竅門”，便進(jìn)入了該軟件的后臺(tái)頁面，看到了學(xué)生王某的密碼。然后，記者再用王某的用戶名和密碼重新進(jìn)入，就看到了王某的上述信息。同樣，記者還可以看到該校上萬名學(xué)生中任何一人的用戶名和密碼，并進(jìn)入該軟件查看“自己”的信息。

專家說法 闖入該系統(tǒng)不算入侵

梁志鋒發(fā)現(xiàn)漏洞的手段，是否屬于黑客行為呢?山東省軟件評測中心副主任韓慶良說，嚴(yán)格來說，梁志鋒的行為算不上“入侵”，屬于用戶測試。他是一名很有良知的學(xué)生�！霸撥浖陌踩┒春艿图�(jí)，編程時(shí)甚至可以說未考慮安全性，軟件設(shè)計(jì)存在很大的缺陷�！表n慶良說，該系統(tǒng)存在三方面問題。密碼沒有加密;對每個(gè)頁面缺乏權(quán)限控制;路徑起名無防范意識(shí)，很容易被人猜到。對密碼加密，是很多管理軟件的通用做法。就像銀行卡一樣，除了用戶本人，其他任何人都不可能知道密碼，這樣才能保證用戶的信息安全。

韓慶良說，使用IE登錄無法發(fā)現(xiàn)漏洞，是因?yàn)榭蛻舳四_本自動(dòng)執(zhí)行(控制訪問權(quán)限)，360、遨游等瀏覽器使用了IE的核心技術(shù)，所以同樣無法登錄。而火狐等瀏覽器的設(shè)計(jì)原理不同�！斑@與瀏覽器無關(guān)，仍然是軟件本身的問題�！�

對于使用域名重定向的方式修復(fù)漏洞，韓慶良同樣認(rèn)為治標(biāo)不治本。他說，軟件設(shè)計(jì)方要想徹底消除漏洞，必須升級(jí)系統(tǒng)。但這不是高校的一般管理員可以完成的。專業(yè)人士修復(fù)每個(gè)系統(tǒng)大約要兩天時(shí)間。一個(gè)人修復(fù)1000多所高校的系統(tǒng)需要2000多個(gè)工作日，顯然要投入較多的人力成本。

“正方”稱回復(fù)卻放鴿子

8月1日下午，記者致電杭州正方軟件股份有限公司，就梁志鋒反映的情況提出4個(gè)問題。綜合管理部工作人員稱了解后給記者回復(fù)，但截至昨天下午6點(diǎn)，記者未接到任何回復(fù)。

記者登錄杭州正方軟件股份有限公司的官方網(wǎng)站看到，該公司稱用戶“共三十個(gè)省、市、自治區(qū)1000多所高�！薄５湫陀脩舭ㄕ憬髮W(xué)、華南理工大學(xué)、江蘇大學(xué)等。山東省的高校包括山東中醫(yī)藥大學(xué)、山東理工大學(xué)、山東政法學(xué)院等。

8月1日下午，記者撥通了杭州正方軟件股份有限公司的總機(jī)，接電話的女子稱相關(guān)負(fù)責(zé)人都不在，讓記者一周后再聯(lián)系。在記者說明事情的重要性之后，她將電話轉(zhuǎn)至該公司綜合管理部。

接電話的席先生說，相關(guān)問題要咨詢市場部和技術(shù)部，他會(huì)在咨詢后給記者回復(fù)。

記者向他提出了4個(gè)問題：正方教務(wù)管理軟件是否存在安全漏洞;使用該軟的具體高校數(shù)量和學(xué)生數(shù)量是多少;為何有的學(xué)校修復(fù)漏洞，有的沒有修復(fù)，還有多少學(xué)校未修復(fù);“正方”下一步將如何處理?

截至昨天下午6點(diǎn)，記者未接到任何回復(fù)。其間，記者三次撥打席先生的電話，均被告知他已外出。

產(chǎn)品存缺陷生產(chǎn)方應(yīng)補(bǔ)救

山東融冠律師事務(wù)所律師胡春雨分析說，信息技術(shù)革命帶來了社會(huì)財(cái)富的增長、工作效率的提高，但前提是保障人類的安全與尊嚴(yán)。因此法律強(qiáng)行規(guī)定，產(chǎn)品的經(jīng)營者要保障其產(chǎn)品沒有不合理的安全缺陷，存在安全隱患的就要承擔(dān)相應(yīng)的法律責(zé)任。

正方教務(wù)管理軟件涉及的學(xué)校有千家之多，涉及的學(xué)生信息必將是一個(gè)觸目驚心的數(shù)字。假如一個(gè)優(yōu)秀的畢業(yè)生被惡意篡改為差生，一個(gè)女生的電話、住址甚至其他更為隱秘的私人信息被散布，就有可能造成當(dāng)事人的精神痛苦，或者損害其社會(huì)聲譽(yù)乃至發(fā)展機(jī)會(huì)，這正是信息產(chǎn)品安全隱患的特殊之處。

如何確保這些信息的安全，是軟件經(jīng)營者在產(chǎn)品的研發(fā)和整個(gè)經(jīng)營過程中必須承擔(dān)的義務(wù)，法律也持積極干預(yù)的態(tài)度，而不能聽任隱患變成現(xiàn)實(shí)。

依據(jù)《侵權(quán)責(zé)任法》的規(guī)定，產(chǎn)品投入流通后發(fā)現(xiàn)存在缺陷的，經(jīng)營者應(yīng)當(dāng)及時(shí)采取警示、召回等補(bǔ)救措施;如果采取措施不力造成損害的，要依法承擔(dān)侵權(quán)責(zé)任。同時(shí)，學(xué)校作為軟件的使用者與開發(fā)者本身也是一種合同關(guān)系，依據(jù)《合同法》的規(guī)定，學(xué)校有權(quán)要求開發(fā)者及時(shí)采取措施，消除產(chǎn)品存在的隱患，維護(hù)正常的教學(xué)秩序

相關(guān)閱讀

  本文關(guān)鍵詞：正方教務(wù)管理系統(tǒng)，由筆耕文化傳播整理發(fā)布。