屏東大學 校務行政系統 學生/教師報表竊取 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2018-01811
  •  發信 Vendor: 國立屏東大學
  • Title: 屏東大學 校務行政系統 學生/教師報表竊取
  • Introduction: 透過報表產生系統 (i-net Clears Report) 隨意取得任意session之報表

處理狀態

目前狀態

公開
Last Update : 2019/03/09
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2018/12/27 10:08:34 : 新提交 (由 Still 更新此狀態)
  • 2018/12/27 10:09:56 : 新提交 (由 Still 更新此狀態)
  • 2018/12/27 10:11:44 : 新提交 (由 Still 更新此狀態)
  • 2018/12/27 10:16:47 : 新提交 (由 Still 更新此狀態)
  • 2018/12/27 22:40:37 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/12/28 13:57:07 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2018/12/28 13:57:07 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/02/19 12:18:59 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/03/09 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2018-01811
  • 通報者:stillazure (Still)
  • 風險:高
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://webap.nptu.edu.tw:9000

敘述

於調查該校校務行政系統時發現該系統產生報表時提供給使用者的連結為無須驗證的連結且可透過brute-force以及供給 session ID 取得所有可用的 report 檔案進行資料竊取

此系統不只用於學生資訊,也包含上層主管可存取之資料
可能洩漏之資訊含:使用者名稱、身分證字號、e-mail、課表、學分、以及更多
據初步調查,該系統可用之報表有 214 種。

圖片
使用者於正常介面取用之報表

圖片
使用者所見之報表頁面

圖片
GET request 分析

圖片
當不提供 prompt parameter 的時候,系統會很好心的提供 prompt dialog,提示所有可提交的parameter以及其type

圖片
圖片
系統回傳之 dialog 的 html 含有所有該報表可用之 parameter 以及 full path disclosure

圖片
圖片
當提供不同 session ID 時,系統毫不吝嗇將該 "session" (此 session ID 從不改變,可能是 user ID?) 相關之資料回送給使用者

修補建議

更新至最新的 i-net Clears Report,並參閱[該軟體之安全性設定](https://reporting.inetsoftware.de/help/security) (考慮使用OAuth2、關閉prompt parameter等等)

另外,該校務行政系統自登入後全部以http方式進行所有動作,建議全部改為 TLS 1.2/1.3

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;