啰嗦几句

这篇文章很早就写了，然后之前提交给盒子在审核就没发出来，敏感部位打码了，上次测过应该是修复了。

复现

1.首先点进域名就会让你登录，点击验证码登录，输入学号，此时点击获取验证码，会提示该学号没有绑定手机号，并自动跳转到绑定手机号的页面。

image.png

2.点进绑定页面，同样的，未做任何验证是否为本人的操作，只要输入手机号，接收到验证码，就可以绑定成功。

image.png
3.绑定成功后竟然自动跳转到登录成功的页面，此时身份已经是该学生
image.png

4.我点击了首页的学生请假，自动跳转了如下页面

image.png
image.png
4.点进我的信息，基本信息，发现包括家庭地址，身份证号在内的敏感信息泄露
image.png
5.我是拿自己的学号测试的，所以基本的结论就是，只要知道该学校学号的命名规则，那所有的学生信息都泄露了。

修复方式建议：

对前台绑定验证码那里做严格的限制，要严格审核申请绑定是不是学生，或者直接在后台帮学生绑定。