Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2019-00297
- 發信 Vendor: 象元印刷事業股份有限公司
- Title: 象元印刷事業股份有限公司,FTP Broken Access Control。
- Introduction: Broken Access Control
處理狀態
目前狀態
公開
Last Update : 2019/06/04
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2019/04/04 17:24:06 : 新提交 (由 MksYi 更新此狀態)
- 2019/04/04 21:11:18 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/04/08 15:56:06 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/04/08 15:56:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/04/08 15:56:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/04/10 17:58:39 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/04/10 17:58:39 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2019/06/04 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2019-00297
- 通報者:MksYi (MksYi)
- 風險:中
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
ftp://sy-box.com/
https://www.sy-box.com/upload.php
https://www.sy-box.com/upload.php
敘述
發現問題
-
從頁面
https://www.sy-box.com/upload.php中發現有提供 FTP 的連線帳號密碼。account => network password => internet1889 -
嘗試使用 FTP 連線,並且成功,測試使用者新增、修改、刪除功能,皆成功,該 FTP 上似乎還包含內部運作整理過的資料,如下。
惡意刪除測試
-
隨機點選上方某資料夾。
-
嘗試刪除
-
確認檔案已經移除
該檔案刪除過後已經立即重新上傳,並沒有對該企業造成任何營運影響。
修補建議
1. 確實做好權限管理,若遭他人惡意刪除資料,後果不堪設想。
2. 權限管理可以分成管理帳號、客戶帳號,客戶帳號僅可以上傳,不得修改、刪除。
3. 不公開 FTP 上傳的模式,改用程式輔助上傳,要求使用者填寫資料、並將相關資料同時上繳,但會需要額外成本支持。
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。