經濟部水利署災害緊急應變系統存取漏洞

Vulnerability Overview

ZDID: ZD-2018-01197
發信 Vendor: 經濟部水利署
Title: 經濟部水利署災害緊急應變系統存取漏洞
Introduction: 該做身份驗證的網頁卻沒做驗證

處理狀態

目前狀態

公開

Last Update : 2018/11/26

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2018/08/24 02:55:52 : 新提交 (由鄉民更新此狀態)
2018/08/25 16:34:21 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/08/27 11:31:49 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/08/27 11:31:49 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/10/24 03:00:05 : 公開 (由 HITCON ZeroDay 平台自動更新)
2018/10/25 23:38:31 : 複測申請中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/11/08 10:26:45 : 複測申請中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2018/11/26 03:00:13 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2018-01197
通報者：鄉民
風險：高
類型：存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料，或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

相關網址

http://fhy.wra.gov.tw/ReservoirPage_2011/AnnounceEMIS/EMISFlooding.aspx
http://fhy.wra.gov.tw/FileManager/elfinder/index?path=%E8%99%95%E7%BD%AE%E5%A0%B1%E5%91%8A%2f107 http://fhy.wra.gov.tw/FileManager/elfinder/index?path=002%E6%AD%B7%E5%B9%B4%E6%96%87%E4%BB%B6
http://fhy.wra.gov.tw/fax/fax/SendFax
http://fhy.wra.gov.tw/Fax/FaxDry/SendFax
http://fhy.wra.gov.tw/fax/fax/SendFaxList
http://fhy.wra.gov.tw/Disaster/Duty/TaichungDutyCreateRemove
http://fhy.wra.gov.tw/Disaster/Duty/TaichungBasicDutyMaintain
http://fhy.wra.gov.tw/dmchy/wra/WebCIAComponent/EventManager.aspx
http://fhy.wra.gov.tw/Disaster/EventSetting/CreateEvents
http://fhy.wra.gov.tw/ReservoirPage_2011/Text/AutoTextSet.aspx
http://fhy.wra.gov.tw/ReservoirPage_2011/Text/LongSMSbyFloodV2.aspx
http://fhy.wra.gov.tw/ReservoirPage_2011/Text/LongSMSbyWaterV2.aspx
http://fhy.wra.gov.tw/ReservoirPage_2011/Text/LongSMSbyReservoirV2.aspx
http://fhy.wra.gov.tw/Disaster/Water_Repair/BrokenDikeStatistics
http://fhy.wra.gov.tw/ReservoirPage_2011/Stuff/StuffSumReport.aspx
http://fhy.wra.gov.tw/ReservoirPage_2011/Announce/Flooding.aspx
http://fhy.wra.gov.tw/ReservoirPage_2011/Announce/WaterRepair.aspx
http://fhy.wra.gov.tw/ReservoirPage_2011/AnnounceEMIS/EMISWaterRepair.aspx
http://fhy.wra.gov.tw/ReservoirPage_2011/Announce/QuakeLake.aspx
http://fhy.wra.gov.tw/Disaster/Directory/DirectoryBasic
http://fhy.wra.gov.tw/Disaster/Directory/faxDirectory
http://fhy.wra.gov.tw/disaster/Directory/MobileDirectory
http://fhy.wra.gov.tw/ReservoirPage_2011/TurbidityQueryList_New.aspx
http://fhy.wra.gov.tw/Disaster/Weather/QPESUMS
http://fhy.wra.gov.tw/Disaster/Kerb/Equipment
https://docs.google.com/spreadsheets/d/1VUBJdJql4da5me927u2pkhzt2fFXVPamuaEPqk-s_yM/pubhtml http://fhy.wra.gov.tw/pump/Home/index

敘述

以下網址擷取自水利署災害緊急應變系統（http://fhy.wra.gov.tw/dmchyv2/Login.aspx），理論上系統必須登入後才能使用，登入畫面可參見附件。系統頁面為主網頁上方與側邊欄位作為 navigation，中間使用 iframe 嵌入各個操作介面。然而，iframe 嵌入的網頁不需登入亦可使用。
測試方式：使用不同種類瀏覽器，並開啟無痕模式，個別開始各個網頁。
現在（2018/8/24 03:00）正值災害應變期間（0823熱帶低壓），系統上有較多的資訊顯示，在災害應變後可能資料會被隱藏。