臺南市圖總館設備漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2016-00105
  • Vendor: 臺南市立圖書館總館
  • Title: 臺南市圖總館設備漏洞
  • Introduction: 使用他人借書證號條碼即可利用自助借書機以他人身分借書

處理狀態

目前狀態

公開
Last Update : 2017/02/02
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2016/06/12 18:08:01 : 新提交 (由 xiplus 更新此狀態)
  • 2016/06/18 21:57:29 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/06/18 22:06:39 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/06/30 12:07:31 : 內部作業 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2016/06/30 12:07:39 : 轉報至合作單位 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2017/02/02 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2016-00105
  • 通報者:xiplus (xiplus)
  • 風險:高
  • 類型:邏輯漏洞 (Logic Flaws)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

臺南市圖總館的自助借書機

敘述

自助借書機只需要刷借書證條碼即可借書,不需要其他驗證方式
產生借書證條碼就可以用他人身分借書

*重現漏洞方式
借書證號碼規律為TN後接8個數字
現多為TN00xxxxxx
猜測前7數字為流水號、最後1位數字為驗證碼
使用手機及網路上的條碼產生器
條碼類型為 Code 39 無檢核碼
將螢幕調到最亮,即可讓借書機感應到

*影響
偽造他人借書,導致他人財產損失

*建議
刷條碼後要輸入密碼,如同市圖網站的讀者登入一樣

留言討論

;