有个发现：北京使馆的状态

随梦 · 发表于 2004-9-28 14:15:46

无意中发现的：
在输入档案号的地方只输入B,
在输入生日的地方随便输一个日子，只要有申请者有在这个日子出生的，然后查询，看看能发现什么。

看到有99年申请的，还在等，

有2004年8月申请的，已安排面试。

有人的状态是17，还真没想到呢。

yufu33 · 发表于 2004-9-28 16:16:12

真的呀！

lydia · 发表于 2004-9-28 16:57:58

真的可以看到，我看到2001.6月的已经审完了，已通知结果

tammy27 · 发表于 2004-9-28 17:10:35

难道又乱套了？？？？？？？？？？？
不会这么命苦吧？？？？？？？？？？

北美枫叶 · 发表于 2004-9-28 19:15:12

说句挨砖的话：个人发现了也就算了，帖子不发也罢！这样坛子里公开生日的谁还有隐私？

随梦 · 发表于 2004-9-28 19:32:45

生日相同的人很多，但只能显示一个人的。我自己的就不能通过这种方法显示，而是必须输入档案号。所以即使你的生日公开了，资料显示的未必是你。发此帖只不过想让大家看看整个大局的进展，尽管是通过窥一斑而已。

如果大家觉得这样不好，那就请斑竹删了这个帖子。说实话，我是犹豫了几天才发的。本希望对大家有所帮助，如果有人有异议，只当我没说。

北美枫叶 · 发表于 2004-9-28 19:42:25

随梦：实不相瞒，我用你的方法就查出了我的朋友的进度，相符。而且每次都显示朋友的进度！也不知是否没有和朋友同生日同申请的case？！

随梦 · 发表于 2004-9-28 21:45:09

有很多人把自己的进度拿出来和大家分享的。如果生日这种很隐私的东西都可以公开在网上，进度算什么？因为是你的朋友，所以你肯定是他的case，如果换了别人，如果不能将他的档案号和生日都对上，谁知道呢？

如果你随便察看了一些人的情况，从FN 的时间，和case的状态，应该可以从比例推测出现在各时间段的案子的进展情况。我没有别的意思。

波浪谷 · 发表于 2004-9-28 22:55:21

显然这是网站上的bug，堂堂的一个国家使馆的数据库出现这样的漏洞，实属不应该，其实这并不是一个不好解决的问题。我想若使馆知道此漏洞，会订正的。

波浪谷 · 发表于 2004-9-28 23:17:29

没错，是好事儿。
不过，01年2月份以后的case，5---多数受到的是补料，不含有体检表。估计补料完毕，审核没问题，即可发体检表。体检表收到后，即马上办理签证。

这是一个合理的做法（较以前）。我分析各种补充材料做好之后，若使认为有问题的，就有拒签的可能，对拒签的人，你先让人家体检了，把银子花上了，又不允许人家入境，有些缺德。

小熊笨笨 · 发表于 2004-9-29 02:18:20

笨笨去看了一下,得出了以下结论:
1)随梦所说确有其事!
2)这应该是个新BUG,因为北京使馆使用了比较新的ASP.net来开发北京进度数据库查询系统.
3)北京使馆系统严重不安全,没有像CIC一样使用https安全协议.
4)在输入档案号的地方任意输入一个字母或数字都有可能查到信息(比如B,或者0之类的).显然代码只判断档案号是否包含你输入的字母,而不是完全相等(这就是这个致命错误的原因)
5)当你任意输入一个字母加上生日后,如果有多名申请人符合以上条件,系统只显示并显示第一条,并忽略后面的.因为同生日的人应该比较多,即使知道某个人的生日,可能显示出来的也不是他的资料
6) 每个生日加一个FN包含的字母或者数字可能会泄漏一个人的资料.由于每个人的FN肯定包含B, 假设生日跨度30年的话,将有可能泄漏 1*30*365 = 10950人的资料.
7)泄漏的资料里尽管没有你的地址信息,但要命的是可能利用在北京查出的信息到CIC上查出地址信息.
8)万幸的是CIC还要求主申请的姓,所以知道北京的信息后,还需要猜测主申请人的姓,才能登陆CIC
9)此问题只发生在北京大使馆
10)请立即向北京大使馆报告此问题.

opera · 发表于 2004-9-29 08:29:09

这真是个要命的BUG，简直难以想象

我试过用我的生日查出来的不是我自己，俺本家正处状态12，而俺的甜心心的本家已经变3了，恭喜这位不知名的朋友！

中药 · 发表于 2004-9-29 08:59:02

opera在线吗？请问无犯罪证明是单位出还是派出所出，需要公证吗？急盼复》谢谢！

tammy27 · 发表于 2004-9-29 10:05:43

药药：你原来没有做过无犯罪公证吗？这个当然是需要公证的啦，我们这里需要派出所开证明，然后到再到公证处去公证。

北美枫叶 · 发表于 2004-9-29 10:16:31

有了好消息，当然愿意到坛子里来和大家分享；遇到了烦恼当然也愿意到坛子里来请大家出主意。这首先建立在自愿的基础上，不管是好消息还是坏消息，我想谁也不想先让别人来替自己发表进度吧？北京查询系统出了问题，我同意笨笨的意见，马上通知使馆订正才对。大家别因为这个问题再起了矛盾！

红豆生南国 · 发表于 2004-9-29 10:50:34

Post by tammy27
药药：你原来没有做过无犯罪公证吗？这个当然是需要公证的啦，我们这里需要派出所开证明，然后到再到公证处去公证。

tammy27"]：
你好。第一次到这个网站，我有点问题想请教一下你。我们被要求补材料。其中有无犯罪公证。问题是我对象以前做的无犯罪公证是在我们户口所在地做的。现在人到外地去工作了，但户口还在我们当地。如果在外地做公证的话，就没有户口所在地的派出所出具的证明。如果在我们当地做公证的话，不知符不符合使馆的要求。因为我觉的你了解很多，特向你求助。急盼回复。此致
敬礼

tammy27 · 发表于 2004-9-29 11:09:29

真不好意思，这个问题我没有把握回答你，你最好发一个新帖子，到网上问问那些大虾们，他们的经验很多的。

萧萧 · 发表于 2004-9-29 11:33:34

天哪!会是这样的吗?那大家说说:香港的CASE也会出现这样情况吗??

小熊笨笨 · 发表于 2004-9-29 11:45:16

红豆生南国:对不起,笨笨忘了回复你的短信了!

无犯罪公证的问题,一般来说,比较棘手. 原因是国内根本无章可循,各地都不一样,猛踢皮球,胡开一气.使馆也只能好见到什么收什么了. 笨笨的派出所出具的无犯罪公证明证花了好多力气才拿到(中国衙门的公章自然很难拿). 但因为是中文的,而公证处说需要那份留底,并没有提交给大使馆.而是用公证处出了一份无犯罪公证材料.

从使馆的文档要求来看,似乎不符合要求(因为他们要求Police的原件),但看起来大使馆也没有什么意见.

所以,笨笨觉得不管出什么证明材料.只要是英文的,有一个像模像样的公章.使馆也就将就着收了. 因为这就是国情!

小熊笨笨 · 发表于 2004-9-29 11:52:32

Post by 萧萧
天哪!会是这样的吗?那大家说说:香港的CASE也会出现这样情况吗??

萧萧,不用担心, 香港不会. 因为香港根本不提供自己的查询系统. 要查只能去CIC的去查!

至于CIC会不会有明显的安全漏洞,笨笨相信没有:
1)现在CIC的系统是加过密的(每次你访问CIC总是有对话框弹出,就是因为CIC的系统是加密的)
2)CIC如果有安全问题,也就是意味着整个加拿大移民部全部有安全问题.估计唾沫早就把移民部淹死了.
3)这确实是个很简单很简单的BUG,不必过于担心.很快会解决的.

		自动登录	找回密码
密码			注册

[其它] 有个发现：北京使馆的状态

难受

回复

不以为然!

回复

回复

帮一下忙