象元印刷事業股份有限公司,FTP Broken Access Control。 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2019-00297
  •  發信 Vendor: 象元印刷事業股份有限公司
  • Title: 象元印刷事業股份有限公司,FTP Broken Access Control。
  • Introduction: Broken Access Control

處理狀態

目前狀態

公開
Last Update : 2019/06/04
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2019/04/04 17:24:06 : 新提交 (由 MksYi 更新此狀態)
  • 2019/04/04 21:11:18 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/04/08 15:56:06 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/04/08 15:56:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/04/08 15:56:06 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/04/10 17:58:39 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/04/10 17:58:39 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2019/06/04 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2019-00297
  • 通報者:MksYi (MksYi)
  • 風險:中
  • 類型:存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

ftp://sy-box.com/
https://www.sy-box.com/upload.php

敘述

發現問題

  1. 從頁面 https://www.sy-box.com/upload.php 中發現有提供 FTP 的連線帳號密碼。

    account => network
    password => internet1889
  2. 嘗試使用 FTP 連線,並且成功,測試使用者新增、修改、刪除功能,皆成功,該 FTP 上似乎還包含內部運作整理過的資料,如下。
    圖片

惡意刪除測試

  1. 隨機點選上方某資料夾。
    圖片

  2. 嘗試刪除
    圖片

  3. 確認檔案已經移除
    圖片

該檔案刪除過後已經立即重新上傳,並沒有對該企業造成任何營運影響。

修補建議

1. 確實做好權限管理,若遭他人惡意刪除資料,後果不堪設想。
2. 權限管理可以分成管理帳號、客戶帳號,客戶帳號僅可以上傳,不得修改、刪除。
3. 不公開 FTP 上傳的模式,改用程式輔助上傳,要求使用者填寫資料、並將相關資料同時上繳,但會需要額外成本支持。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;