陕西普通话测试查询网的程序员竟然将考生数据直接写在源代码里

昨晚开始程序员圈子里突然被陕西普通话等级查询网刷屏,这个非常简陋的网站为什么突然引起大量程序员关注?

当该网站的源代码被打码截图发出后无疑引起无数程序员震惊,这个网站竟然把所有考生数据直接写在源代码里!

也就是任何人不需要经过任何验证直接查看源代码即可访问考生信息,无数码农吐槽这个网站的程序员不负责任。

陕西普通话测试查询网的程序员竟然将考生数据直接写在源代码里

数据直接写入源代码是什么操作?

正常情况下这类查询网站需用户输入自己的信息然后提交查询请求,核对信息无误后服务器从数据库里返回数据。

这种方式可以保证所有用户只能查询自己的信息,因为别人不知道用户的数据因此无法也无法通过数据库的验证。

而陕西省普通话水平测试查询系统直接把考生关键信息放在源代码里,任何人查看源代码后都可以直接查看数据。

数据包括考生的照片、身份证号、准考证号、院校以及其他信息,这无疑会造成大量考生的隐私信息被直接泄露。

陕西普通话测试查询网的程序员竟然将考生数据直接写在源代码里

连源代码都是复制百度知道的:

有网友经过查证后发现即便是这些简单的静态代码都不是程序员自己写的,而是复制 2009 年百度知道示例代码。

这些示例代码由百度知道用户 wrr717 在回答用户提问时编写的,可以实现按照不同的查询内容跳转到不同页面。

而负责开发陕西省普通话水平测试查询系统的程序员直接复制这段代码,然后把用户数据写入页面里进行跳转等。

这种查询方式可能连程序员最基础的知识都不知道,而这种人竟然还能开发这类考试结果查询网站让人匪夷所思。

陕西普通话测试查询网的程序员竟然将考生数据直接写在源代码里

图像来自知乎@NullPointer

不过网站真假暂时还有待验证:

蓝点网对该网站进行查询后发现网站没有备案服务器托管在香港,因此具体是否是陕西官方机构的网站暂不确定。

同时我们查询到目前陕西省普通话水平测试查询系统主要是科大讯飞提供支持的,科大讯飞提供的网站没有问题。

从源代码里我们可以看到这个泄露考生数据的网站页面是从科大讯飞复制的,然后修改网页源代码写入用户数据。

如果是好事者不太可能会直接拿到这么多考生的数据,如果网站属于黑客那么黑客也不可能会直接公开这些数据。

所以综合来看这个泄露考生数据的网站应该还是外包公司开发的,至于具体用途或者面向的用户暂时也无法确定。

目前已经有很多程序员前往工信部举报这个网站泄露公民信息,域名暂时被西维数码暂停解析但似乎还可以访问。

更新:此网站域名注册商西维数码已将域名设置暂停解析,经蓝点网测试目前多数地区已经无法正常加载此域名。

陕西普通话测试查询网的程序员竟然将考生数据直接写在源代码里

网页模板复制科大讯飞然后源代码写入数据:

陕西普通话测试查询网的程序员竟然将考生数据直接写在源代码里

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
new1
扫码关注蓝点网微信公众号

评论:

7 条评论,访客:7 条,站长:0 条
  1. ho
    ho发布于: 
    Firefox 69.0 Firefox 69.0 Windows 8.1 64位版 Windows 8.1 64位版

    “蓝点网对该网站进行查询后发现网站没有备案服务器托管在香港,因此具体是否是陕西官方机构的网站暂不确定。”

    没有? 还是 设有?

  2. 脚踩风火轮的哪吒
    脚踩风火轮的哪吒发布于: 
    Google Chrome 63.0.3239.132 Google Chrome 63.0.3239.132 Windows 7 64位版 Windows 7 64位版

    这种炫技方式不要也罢

  3. 泡沫
    泡沫发布于: 
    Google Chrome 63.0.3239.132 Google Chrome 63.0.3239.132 Windows 7 64位版 Windows 7 64位版

    sxpth.cn一看就是假网站啊,普通话测试认准cltt.org哦

  4. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.5000 Maxthon 5.2.7.5000 Windows 10 64位版 Windows 10 64位版

    树林子大了,什么鸟儿都有啊!

    • 孤尘枫
      孤尘枫发布于: 
      Firefox 69.0 Firefox 69.0 Windows 10 64位版 Windows 10 64位版

      哈哈,还真的什么鸟都有。。

发表评论