Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2018-00458
- 發信 Vendor: 社團法人臺灣電競協會
- Title: 社團法人臺灣電競協會網站多重弱點
- Introduction: SQL Injection, Directory Listing, Path Disclosure via Error Message, Captcha Code Reuse, .DS_Store File Disclosure
處理狀態
目前狀態
公開
Last Update : 2018/06/12
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2018/04/12 02:36:24 : 新提交 (由 Inndy 更新此狀態)
- 2018/04/12 02:43:20 : 新提交 (由 Inndy 更新此狀態)
- 2018/04/12 20:58:03 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/04/14 14:38:19 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/04/14 14:38:20 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/04/14 14:38:21 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/06/07 11:46:40 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2018/06/07 23:50:15 : 未修補完成 (由 Inndy 更新此狀態)
- 2018/06/12 03:00:11 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2018-00458
- 通報者:Inndy (Inndy)
- 風險:高
- 類型:其他 (Other)
參考資料
暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
http://www.twtcaa.org/news_detail.php?id=1'
http://www.twtcaa.org/admin/
http://www.twtcaa.org/images/member/
http://www.twtcaa.org/tpl/
http://www.twtcaa.org/admin/member/
http://www.twtcaa.org/admin/
http://www.twtcaa.org/images/member/
http://www.twtcaa.org/tpl/
http://www.twtcaa.org/admin/member/
敘述
此網站先前曾經被回報過 SQL Injection 漏洞,其他地方還有更多漏洞沒有被發現
- SQL Injection
- Directory Listing
- Path Disclosure via Error Message
- Captcha Code Reuse
.DS_StoreFile Disclosure
並且根據 template 找到相同廠商製作之網頁: http://yuhsi.com/tpl/ ,推估還有更多相同廠商製作的網站有相同的弱點
修補建議
- 全面採用 PDO prepare statement
- 修正伺服器設定,關閉資料夾列表
- 在所有資料夾放入 index.html
- 設定 `error_reporting(0);`
- 理解 Captcha 機制,並且在檢查密碼後,馬上使 captcha code 失效
- 移除多餘 .DS_Store 檔案
- 請上游廠商全面清查
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。