Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2021-00261
- 發信 Vendor: 線上學習系統 製作公司
- Title: 補習班線上學習系統 密碼繞過漏洞
- Introduction: 補課影片可從前端繞過
處理狀態
目前狀態
公開
Last Update : 2021/07/19
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2021/05/19 23:24:41 : 新提交 (由 Hsuan 更新此狀態)
- 2021/05/19 23:34:46 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2021/05/21 12:23:29 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2021/05/21 12:23:29 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2021/05/21 12:23:29 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2021/07/19 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2021-00261
- 通報者:hsuan1117 (Hsuan)
- 風險:低
- 類型:資訊洩漏 (Information Leakage)
參考資料
攻擊者可利用洩漏資訊進行下一步攻擊行為。
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
寰宇雲端補課系統 http://www.globalchild.myds.me/
寰宇雲端補課系統 http://globalchild.i234.me/
寰宇雲端補課系統 http://61.216.66.44/
高騰雲端補課系統 http://122.117.85.224/
勵德雲端學習系統 http://122.201.183.42/
勵德文教機構雲端學習系統 http://buke.ldclass.com.tw/
得勝者文教雲端補課系統 http://victorbook.com.tw/
得勝者雲端學習系統-B1 http://59.124.70.128/
台北天母儒林雲端學習系統 http://tmrulin.com.tw/
儒林雲端學習系統 http://cy.strl.tw/
楠一雲端補課系統 http://203.73.234.113/
彭湘平雲端學習系統 http://220.135.37.169/
全方位雲端學習系統 http://218.161.11.21/
政大應數雲端學習系統 http://online.math.nccu.edu.tw/
資優雲端學習系統 http://122.117.75.198/
雲端學習系統 http://1.34.240.108/index.html
台北全方位雲端學習系統 http://220.134.224.151/
王可樂雲端學習系統 http://59.126.152.177/
學冠文理南京校雲端學習系統 http://122.116.60.16/
翰成雲端學習系統 http://220.135.40.43/
新超群雲端學習系統 http://60-249-25-167.hinet-ip.hinet.net/
寰宇雲端補課系統 http://globalchild.dscloud.me/
台大雲端補課系統 http://220.132.231.122/
岑英雲端補課系統 http://114.32.59.95/
大樹雲端補課系統 http://122.117.102.10/
揚名雲端補課系統 http://59.126.90.18/
寰宇雲端補課系統 http://globalchild.i234.me/
寰宇雲端補課系統 http://61.216.66.44/
高騰雲端補課系統 http://122.117.85.224/
勵德雲端學習系統 http://122.201.183.42/
勵德文教機構雲端學習系統 http://buke.ldclass.com.tw/
得勝者文教雲端補課系統 http://victorbook.com.tw/
得勝者雲端學習系統-B1 http://59.124.70.128/
台北天母儒林雲端學習系統 http://tmrulin.com.tw/
儒林雲端學習系統 http://cy.strl.tw/
楠一雲端補課系統 http://203.73.234.113/
彭湘平雲端學習系統 http://220.135.37.169/
全方位雲端學習系統 http://218.161.11.21/
政大應數雲端學習系統 http://online.math.nccu.edu.tw/
資優雲端學習系統 http://122.117.75.198/
雲端學習系統 http://1.34.240.108/index.html
台北全方位雲端學習系統 http://220.134.224.151/
王可樂雲端學習系統 http://59.126.152.177/
學冠文理南京校雲端學習系統 http://122.116.60.16/
翰成雲端學習系統 http://220.135.40.43/
新超群雲端學習系統 http://60-249-25-167.hinet-ip.hinet.net/
寰宇雲端補課系統 http://globalchild.dscloud.me/
台大雲端補課系統 http://220.132.231.122/
岑英雲端補課系統 http://114.32.59.95/
大樹雲端補課系統 http://122.117.102.10/
揚名雲端補課系統 http://59.126.90.18/
敘述
簡述
以 http://www.globalchild.myds.me/ 為例,點選一個需要密碼才能補課的影片,透過前端解密,可以成功進入影片列表並撥放影片,可能會導致補習班影片、著作財產權外洩之風險
POC:
checkPermitHome("","",iTag)
- iTag 為加密過後的資訊字串,可從公開網頁中取得
輸入後即可進入影片列表畫面
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。