coremail校园邮存在严重安全漏洞,仅需学号就能激活

  • 2017-10-08
  • 6,698
  • 1

今天无意中发现杭州师范大学的学生邮箱激活界面,试了下竟然只要学号就能注册成功(验证下手机号就行),无需其他任何个人信息,这安全程度简直让人大跌眼镜,要知道随便百度一下就能很容易获得一所大学的学生学号格式。从注册界面可以看出,应该是coremail和多所学校合作在搞”校园邮”,因为下拉菜单发现除了杭州师范大学以外,还有兰州交通大学,山东财经大学等多所高校。

注册地址:http://mail.stu.hznu.edu.cn/edu_reg/userActive/index

上述链接同样可以改为其他学校的,例如,安徽大学:http://mail.stu.ahu.edu.cn/edu_reg/userActive/index

山东财经:http://mail.stu.sdufe.edu.cn/edu_reg/userActive/index

我随便测试了几个学校,很简单就成功了两个,分别是杭州师范和山东财经,而且能正常接收邮件。如下图:

 

 

 

 

 

 

最后,希望coremail早日修复漏洞,防止恶意注册哦。我只是注册两个测试,对那两位同学表示抱歉~我已经微博联系coremail,不知道会不会回复。另外希望各位就不要打国内edu邮箱的主意了。

2017/10/09更新:网页已经404了,漏洞应该已经修复。

感谢打赏!
微信

评论

你必须 登录 才能发表评论.