无意中发现的：
在输入档案号的地方只输入B,
在输入生日的地方随便输一个日子，只要有申请者有在这个日子出生的，然后查询，看看能发现什么。

看到有99年申请的，还在等， 有2004年8月申请的，已安排面试。 有人的状态是17，还真没想到呢。

真的呀！

难受

真的可以看到，我看到2001.6月的已经审完了，已通知结果

难道又乱套了？？？？？？？？？？？
不会这么命苦吧？？？？？？？？？？

回复

说句挨砖的话：个人发现了也就算了，帖子不发也罢！这样坛子里公开生日的谁还有隐私？

不以为然!

生日相同的人很多，但只能显示一个人的。我自己的就不能通过这种方法显示，而是必须输入档案号。所以即使你的生日公开了，资料显示的未必是你。发此帖只不过想让大家看看整个大局的进展，尽管是通过窥一斑而已。

如果大家觉得这样不好，那就请斑竹删了这个帖子。说实话，我是犹豫了几天才发的。本希望对大家有所帮助，如果有人有异议，只当我没说。

回复

随梦：实不相瞒，我用你的方法就查出了我的朋友的进度，相符。而且每次都显示朋友的进度！也不知是否没有和朋友同生日同申请的case？！

有很多人把自己的进度拿出来和大家分享的。如果生日这种很隐私的东西都可以公开在网上，进度算什么？因为是你的朋友，所以你肯定是他的case，如果换了别人，如果不能将他的档案号和生日都对上，谁知道呢？

如果你随便察看了一些人的情况，从FN 的时间，和case的状态，应该可以从比例推测出现在各时间段的案子的进展情况。我没有别的意思。

显然这是网站上的bug，堂堂的一个国家使馆的数据库出现这样的漏洞，实属不应该，其实这并不是一个不好解决的问题。我想若使馆知道此漏洞，会订正的。

没错，是好事儿。
不过，01年2月份以后的case，5---多数受到的是补料，不含有体检表。估计补料完毕，审核没问题，即可发体检表。体检表收到后，即马上办理签证。

这是一个合理的做法（较以前）。我分析各种补充材料做好之后，若使认为有问题的，就有拒签的可能，对拒签的人，你先让人家体检了，把银子花上了，又不允许人家入境，有些缺德。

笨笨去看了一下,得出了以下结论:
1)随梦所说确有其事!
2)这应该是个新BUG,因为北京使馆使用了比较新的ASP.net来开发北京进度数据库查询系统.
3)北京使馆系统严重不安全,没有像CIC一样使用https安全协议.
4)在输入档案号的地方任意输入一个字母或数字都有可能查到信息(比如B,或者0之类的).显然代码只判断档案号是否包含你输入的字母,而不是完全相等(这就是这个致命错误的原因)
5)当你任意输入一个字母加上生日后,如果有多名申请人符合以上条件,系统只显示并显示第一条,并忽略后面的.因为同生日的人应该比较多,即使知道某个人的生日,可能显示出来的也不是他的资料
6) 每个生日加一个FN包含的字母或者数字可能会泄漏一个人的资料.由于每个人的FN肯定包含B, 假设生日跨度30年的话,将有可能泄漏 1*30*365 = 10950人的资料.
7)泄漏的资料里尽管没有你的地址信息,但要命的是可能利用在北京查出的信息到CIC上查出地址信息.
8)万幸的是CIC还要求主申请的姓,所以知道北京的信息后,还需要猜测主申请人的姓,才能登陆CIC
9)此问题只发生在北京大使馆
10)请立即向北京大使馆报告此问题.

这真是个要命的BUG，简直难以想象

我试过用我的生日查出来的不是我自己，俺本家正处状态12，而俺的甜心心的本家已经变3了，恭喜这位不知名的朋友！

opera在线吗？请问 无犯罪证明是单位出还是派出所出，需要公证吗？急盼复》谢谢！

药药：你原来没有做过无犯罪公证吗？这个当然是需要公证的啦，我们这里需要派出所开证明，然后到再到公证处去公证。

回复

有了好消息，当然愿意到坛子里来和大家分享；遇到了烦恼当然也愿意到坛子里来请大家出主意。这首先建立在自愿的基础上，不管是好消息还是坏消息，我想谁也不想先让别人来替自己发表进度吧？北京查询系统出了问题，我同意笨笨的意见，马上通知使馆订正才对。大家别因为这个问题再起了矛盾！

帮一下忙

tammy27 说:

药药：你原来没有做过无犯罪公证吗？这个当然是需要公证的啦，我们这里需要派出所开证明，然后到再到公证处去公证。

点击展开...

tammy27"]：
你好。第一次到这个网站，我有点问题想请教一下你。我们被要求补材料。其中有无犯罪公证。问题是我对象以前做的无犯罪公证是在我们户口所在地做的。现在人到外地去工作了，但户口还在我们当地。如果在外地做公证的话，就没有户口所在地的派出所出具的证明。如果在我们当地做公证的话，不知符不符合使馆的要求。因为我觉的你了解很多，特向你求助。急盼回复。 此致
敬礼

真不好意思，这个问题我没有把握回答你，你最好发一个新帖子，到网上问问那些大虾们，他们的经验很多的。

天哪!会是这样的吗?那大家说说:香港的CASE也会出现这样情况吗??

红豆生南国:对不起,笨笨忘了回复你的短信了!

无犯罪公证的问题,一般来说,比较棘手. 原因是国内根本无章可循,各地都不一样,猛踢皮球,胡开一气.使馆也只能好见到什么收什么了. 笨笨的派出所出具的无犯罪公证明证花了好多力气才拿到(中国衙门的公章自然很难拿). 但因为是中文的,而公证处说需要那份留底,并没有提交给大使馆.而是用公证处出了一份无犯罪公证材料.

从使馆的文档要求来看,似乎不符合要求(因为他们要求Police的原件),但看起来大使馆也没有什么意见.

所以,笨笨觉得不管出什么证明材料.只要是英文的,有一个像模像样的公章.使馆也就将就着收了. 因为这就是国情!

萧萧 说:

天哪!会是这样的吗?那大家说说:香港的CASE也会出现这样情况吗??

点击展开...

萧萧,不用担心, 香港不会. 因为香港根本不提供自己的查询系统. 要查只能去CIC的去查!

至于CIC会不会有明显的安全漏洞,笨笨相信没有:
1)现在CIC的系统是加过密的(每次你访问CIC总是有对话框弹出,就是因为CIC的系统是加密的)
2)CIC如果有安全问题,也就是意味着整个加拿大移民部全部有安全问题.估计唾沫早就把移民部淹死了.
3)这确实是个很简单很简单的BUG,不必过于担心.很快会解决的.

谢谢你!聪明的笨笨熊~~~~~~~~~~~~~

这里面也不都是技术移民，还有家庭团聚类和探亲等。所以看到2004年在被审理的也不足为怪。

要命的BUG!!!

使馆把这个bug给捉了！

使馆把这个bug给捉了！
大家再不必为此而玄虚了！

回复

波浪谷：你是怎么知道的捏？ 说说。

嘿嘿，试试就知道了。现在如果仅输入一个B,或者输入位数不正确，网页response出错信息，并且提醒FN的位数是10位等，那位大虾通知的使馆，真是功德无量呀。

回复

波浪谷问：谁通知的使馆呢？大声告诉所有人：
是我！！！哈哈......没想到吧？花了俺7份钟的手机费呢！！！
那天一看到这个帖子，心里就难受！使馆的网站竟然出这样的问题，太不应该了，网管 俺一着急，就给俺的代理打电话作了说明，请他把这个问题反映一下，代理电话都没放下，就按俺说的试了一下，马上告诉我：你反映的问题属实，我们会马上发传真给使馆进行说明。不然，这档案号不就没用了么？
哈哈，波浪谷，你明白了？OK?

try

ft 干嘛要告诉他们呀？

我的无犯罪公证就根本没到派出所去开证明，只是让单位人事给出了份介绍信证名本人XX年XX月到XX年XX月在XX居住期间无犯罪记录，然后到北京市公证处公证。目前国内对于无犯罪公证也没有标准的格式，我目前已经拿到签证。我个人的感想是在准备材料时，要坚持诚信的原则，可以在此原则下对材料作些修饰，如果出现资料的格式与使馆要求的有出入，可以给使馆写信说明清楚。