虎尾科大招生入學報到網頁資料庫注入漏洞

Vulnerability Overview

ZDID: ZD-2020-00148
發信 Vendor: 國立虎尾科技大學
Title: 虎尾科大招生入學報到網頁資料庫注入漏洞
Introduction: 報到登入頁面資料庫注入，可直接繞過驗證隨意獲取個資

處理狀態

目前狀態

公開

Last Update : 2020/06/05

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2020/03/27 09:21:21 : 新提交 (由科科更新此狀態)
2020/03/29 20:03:57 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/03/30 17:37:13 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/03/30 17:37:13 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/03/30 17:37:13 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/03/30 17:39:07 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/03/30 17:39:07 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/03/30 17:39:07 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/05/27 03:00:01 : 公開 (由 HITCON ZeroDay 平台自動更新)
2020/05/28 15:46:22 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/06/05 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2020-00148
通報者：s884812 (科科)
風險：高
類型：資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料（包含大量使用者個資或敏感性資料），同時也有機會對資料進行破壞或修改。

漏洞說明： OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明： OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明： CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式： OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

在登入頁面可以看到僅驗證身分證與報名序號，報名序號在錄取榜單可以獲取。
然後看了一下發現插入單引號會噴錯，而且SQL指令全部都給你看。

那我們拆解一下SQL指令，因為身分證欄位不知道，那就把身分證那邊改成如下：
123' or m_cost='2013000008'--
就可以直接把SQL構造成
select * from TKINS10 where ins_id='123' or m_cost='201300008''--
利用這樣的方式就可以隨意登入任何榜單上的人，獲取個資。

修補建議

錯誤訊息不應該噴出SQL指令。
建議PHP做資料庫的連線改用pdo。
主動檢查使用者輸入的資料，不要相信使用者。

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

虎尾科大招生入學報到網頁資料庫注入漏洞 - HITCON ZeroDay

Vulnerability Detail Report