Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2019-00003
- 發信 Vendor: TACERT台灣學術網路危機處理中心
- Title: 國立南科國際實驗高級中學國中部&台南市立新化國民中學模組CSRF漏洞
- Introduction: 由於「訪客填寫維修單」功能造成的漏洞
處理狀態
目前狀態
公開
Last Update : 2019/03/17
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2019/01/01 11:14:34 : 新提交 (由 MM 更新此狀態)
- 2019/01/02 22:08:26 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/01/07 15:19:58 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/01/07 15:19:58 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/03/17 03:00:05 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2019-00003
- 通報者:mrmad2017 (MM)
- 風險:低
- 類型:其他 (Other)
參考資料
暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
台南市立新化國民中學:https://xs.shjhs.tn.edu.tw/modules/tad_repair/repair.php
國立南科國際實驗高級中學:https://hs.nnkieh.tn.edu.tw/modules/tad_repair/repair.php
國立南科國際實驗高級中學:https://hs.nnkieh.tn.edu.tw/modules/tad_repair/repair.php
敘述
如圖所示
在發送一個POST請求至
(網址)?repair_title=標題&repair_content=報修&repair_img[]=&repair_place=地方&unit_sn=5&repair_status=輕微&repair_sn=5&op=insert_tad_repair
後會出現一空資料(如圖)
•南科實中(314、315、316號報修 )
•新化國中 (3號通報)
請求是可被複製的
若未經過身份驗證發送的請求有二風險
•假報修
•攻擊者利用POST請求進行阻斷服務式攻擊,消耗伺服器資源及e-mail發送
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。