娛樂城評價描述：：原標題：山大繼續教育學院網站暴露安全漏洞 不登錄可訪問萬名學生準考證 近日，網友張信（化名）發帖爆料山東大學繼續教育學院網站存在安全漏洞，可在未登錄的情況下，查看該學院學生的準考證，包含姓名、身份證號等信息。 學生準考證。 對此，山東大學繼續教育學院回復隱私護衛隊稱，已進行排查并修復漏洞。 帖子中，張信稱幫朋友打印準考證時，在看到準考證的訪問鏈接時“靈光一現”，察覺可以訪問所有學生的準考證，進而查看其中包含的姓名、身份證號、考試科目和時間等信息。 張信發現，準考證的訪問鏈接中有一個ID值，改變此ID值，“在230000-240000”范圍內，都可以訪問其他學生的準考證信息；值得注意的是，此操作并不需要登錄賬號。這意味著，“任何一個人可以查看任何一個學生的準考證。”張信在帖子中說。 “非常簡單、常見但多少又有點影響的漏洞。”張信表示，之所以發帖，“只是想說明某些看起來很安全的系統可能已經千瘡百孔。” 如張信所言，隱私護衛隊發現，出現類似安全漏洞的情況并不少見。 去年8月，某社交類短信App，一經推出，該App就異常火爆，與此同時，它也丑聞不斷，深陷涉黃、隱私泄露等問題中。 當時，有網友爆料稱，注冊該App時，用戶ID依次遞增，比如第一個注冊者ID是1，第二個注冊者ID是2，依此類推。當用戶使用該App給通訊錄中好友發送短信時，App會幫該用戶生成一個“個人頁面”，包含用戶的ID、昵稱、手機號等信息，在源代碼中，這些信息處于明文狀態。 該網友指出，將“個人頁面”鏈接中的用戶ID依次增加，就可以大批量查詢、到處用戶個人信息。 隨后，App官方回復稱對上述安全漏洞進行了緊急修復。 2015年初，某平臺的紅包也被曝存在類似漏洞，修改紅包的ID就可打開其他任意用戶的紅包。 目前，張信的爆料貼已經刪除。山東大學繼續教育學院對隱私護衛隊表示，已經進行了排查，目前漏洞已經修復。 這屬于“業務邏輯上的漏洞”，知道創宇404安全實驗室副總監隋剛對隱私護衛隊說，開發時，程序員只考慮了功能實現，而在關鍵信息上的防護做得不夠。 一位安全專家介紹說，網站設計時遵循用戶權限分級和隔離，設定服務端對當前用戶身份進行校驗，限定不能查看別人信息，就能避免類似漏洞出現。 文/南都個人信息保護研究中心研究員 尤一煒 南都見習記者 李慧琪 編輯：蔣琳