某某大学的平行越权信息泄露至少几万条

在提升学历的同时，无聊想看看有没有存在逻辑漏洞，结果还真有。直接上流程
1，登录后，选择我的课程

2，这是某某大学的个人中心页面。选择学历服务，点击个人信息

3，选择个人信息，点进去。我一般找逻辑漏洞都是在个人信息，这里寻找这里选择修改QQ号，随便修改个，然后点击提交，我们用BURP工具进行抓包。

4，然后我们看到我们抓到的数据包里有我们前面修改的QQ号码，还有个很神奇的参数？id=……这个通常是用来决定用户的参数

5，我们可以通过更改id=199582这个参数来实现平行越权查看他人信息，身份证，以及照片等等作用，这里我们把id更改下随便改个id=199590

6，决定命运的时候到了，放包，然后惊讶的发现页面发生改变了，是个妹子，名字也不一样。然后身份证号码，姓名都泄露了。

*我估计至少有几万人的信息泄露了。
[PS：泄露个人信息的页面是通过ID传参来进行修改的，然后我修改了ID传参之后，在联系方式的这一栏还是我的自己的个人信息，可能这个每个模块都是独立的，相互不干预的，我也不清楚，望风哥和劲夫来解答]