Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2016-00105
- Vendor: 臺南市立圖書館總館
- Title: 臺南市圖總館設備漏洞
- Introduction: 使用他人借書證號條碼即可利用自助借書機以他人身分借書
處理狀態
目前狀態
公開
Last Update : 2017/02/02
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2016/06/12 18:08:01 : 新提交 (由 xiplus 更新此狀態)
- 2016/06/18 21:57:29 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2016/06/18 22:06:39 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2016/06/30 12:07:31 : 內部作業 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2016/06/30 12:07:39 : 轉報至合作單位 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/02/02 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2016-00105
- 通報者:xiplus (xiplus)
- 風險:高
- 類型:邏輯漏洞 (Logic Flaws)
參考資料
暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
臺南市圖總館的自助借書機
敘述
自助借書機只需要刷借書證條碼即可借書,不需要其他驗證方式
產生借書證條碼就可以用他人身分借書
*重現漏洞方式
借書證號碼規律為TN後接8個數字
現多為TN00xxxxxx
猜測前7數字為流水號、最後1位數字為驗證碼
使用手機及網路上的條碼產生器
條碼類型為 Code 39 無檢核碼
將螢幕調到最亮,即可讓借書機感應到
*影響
偽造他人借書,導致他人財產損失
*建議
刷條碼後要輸入密碼,如同市圖網站的讀者登入一樣
留言討論
登入後留言