Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2016-00386
- Vendor: 茂訊電腦
- Title: 茂訊電腦電腦健檢歷史紀錄查詢個人資料外洩疑慮
- Introduction: 電腦健檢紀錄未設定權限,修改網址即可看到其他會員預約資料(包含姓名、電話以及E-mail)
處理狀態
目前狀態
公開
Last Update : 2017/03/04
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2016/12/31 10:09:46 : 新提交 (由 UnciaX 更新此狀態)
- 2017/01/01 17:04:25 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/01/07 02:36:19 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/01/07 02:36:19 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2017/03/04 03:00:01 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2016-00386
- 通報者:unciax (UnciaX)
- 風險:高
- 類型:邏輯漏洞 (Logic Flaws)
參考資料
攻擊者可經由該漏洞繞過網站邏輯行為進行惡意攻擊。
漏洞說明: OWASP - Testing for business logic
https://www.owasp.org/index.php/Testing_for_business_logic
漏洞說明: CWE-840: Business Logic Errors
https://cwe.mitre.org/data/definitions/840.html
漏洞說明: OWASP - Testing for business logic
https://www.owasp.org/index.php/Testing_for_business_logic
漏洞說明: CWE-840: Business Logic Errors
https://cwe.mitre.org/data/definitions/840.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
http://webserver3.crete.com.tw/member/checknb4.asp?id=144633
http://webserver3.crete.com.tw/member/checknb4.asp?id=144634
http://webserver3.crete.com.tw/member/checknb4.asp?id=144634
敘述
該公司會員登入後可經由會員首頁點選《查詢健診紀錄》,裡面會顯示曾經預約過的資料,若時間還沒到有個「列印健檢單」的按鈕可以點選。但開啟後發現並非個人的預約資料,而是其他會員的,並且可通過修改網址參數即可看到其他會員預約的資料(包含姓名、E-mail、電話等個人資料)。
擷圖
留言討論
登入後留言