Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2022-00164
- 發信 Vendor: 台灣電力公司
- Title: [Bounty] 台灣電力公司官網內容安全策略(Content-Security-Policy)、X-Frame-Options Header Not未設定 Set
- Introduction: 內容安全策略(Content-Security-Policy)、 X-Frame-Options Header Not Set未設定
處理狀態
目前狀態
公開
Last Update : 2022/05/10
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2022/02/25 16:28:59 : 新提交 (由 AlexTang 更新此狀態)
- 2022/02/26 10:12:52 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/04/19 09:15:20 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/04/19 13:06:47 : 未修補完成 (由 AlexTang 更新此狀態)
- 2022/04/25 09:11:19 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/04/25 13:24:20 : 未修補完成 (由 AlexTang 更新此狀態)
- 2022/04/25 16:58:58 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2022/05/09 11:06:26 : 確認已修補 (由 AlexTang 更新此狀態)
- 2022/05/10 03:00:01 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2022-00164
- 通報者:Scanda528 (AlexTang)
- 風險:中
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://www.taipower.com.tw/tc/page.aspx?cchk=6764c6bb-b42a-4886-857c-e9f758f0bfba&cid=88&mid=195
https://www.taipower.com.tw/tc/news2_info.aspx?chk=cbfddd33-7e7a-42a2-9495-e70293860568&id=5934&mid=29¶m=pn%3d1%26mid%3d29%26key%3d
https://www.taipower.com.tw/TC/page.aspx?cchk=50c87bee-4e70-458e-bc22-be860be56ead&cid=110&mid=200
https://www.taipower.com.tw/tc/news2_info.aspx?chk=33b7e3fd-b3f5-4d58-835d-99f70936bc99&id=5991&mid=5564¶m=pn%3d1%26mid%3d5564%26key%3d
https://www.taipower.com.tw/TC/news_info.aspx?chk=5ad5a0f1-96a9-4ed3-a962-9c390a85c0c1&id=5922&mid=5563
https://www.taipower.com.tw/tc/page.aspx?cchk=792b6538-55d3-4ded-a2fc-a9eef608febb&cid=119&mid=212
https://www.taipower.com.tw/TC/news2_info.aspx?chk=ba5c81fb-e9f4-4f2d-91bb-9ff61dd55c35&id=4387&mid=18¶m=pn%3d1%26mid%3d18%26key%3d
https://www.taipower.com.tw/tc/news2_info.aspx?chk=e47042a6-3b7f-467f-a562-aadadbfd9d7b&id=6027&mid=225
https://www.taipower.com.tw/TC/download_link.aspx?mid=5503
https://www.taipower.com.tw/TC/subscriptionRSS.aspx?mid=408
https://www.taipower.com.tw/TC/page.aspx?cchk=5ea83c44-c311-428f-baf0-acf2c5565436&cid=107&mid=200
https://www.taipower.com.tw/tc/news2_info.aspx?chk=1c034f90-a0eb-4e75-be5d-a970230dbdac&id=6004&mid=225
https://www.taipower.com.tw/TC/page.aspx?cchk=a7a73918-bca0-474f-92bb-906802695676&cid=4114&mid=6589
https://www.taipower.com.tw/tc/page.aspx?cchk=93348b5b-b515-46a1-8bc6-718fca7a409a&cid=198&mid=40
https://www.taipower.com.tw/tc/pageList.aspx
https://www.taipower.com.tw/TC/page.aspx?cchk=b724a756-1d5d-4251-b414-a6154133b395&cid=18&mid=42
https://www.taipower.com.tw/tc/news2_info.aspx?chk=a7eb8c8e-d6fb-4d2c-ac4c-06a9c3df8ddc&id=5896&mid=18
https://www.taipower.com.tw/tc/page.aspx?cchk=8ce84ad0-fe9e-46ea-ae27-ad659f90a49a&cid=171&mid=216
https://www.taipower.com.tw/tc/news_info.aspx?chk=bd1388cb-22cc-443d-8cd9-c29453181e39&id=6035&mid=17¶m=pn%3d1%26mid%3d17%26key%3d
https://www.taipower.com.tw/tc/page.aspx?cchk=f307c9a0-aba0-43aa-be0f-3e35c9196b6f&cid=2702&mid=223
https://www.taipower.com.tw/tc/news2_info.aspx?chk=cbfddd33-7e7a-42a2-9495-e70293860568&id=5934&mid=29¶m=pn%3d1%26mid%3d29%26key%3d
https://www.taipower.com.tw/TC/page.aspx?cchk=50c87bee-4e70-458e-bc22-be860be56ead&cid=110&mid=200
https://www.taipower.com.tw/tc/news2_info.aspx?chk=33b7e3fd-b3f5-4d58-835d-99f70936bc99&id=5991&mid=5564¶m=pn%3d1%26mid%3d5564%26key%3d
https://www.taipower.com.tw/TC/news_info.aspx?chk=5ad5a0f1-96a9-4ed3-a962-9c390a85c0c1&id=5922&mid=5563
https://www.taipower.com.tw/tc/page.aspx?cchk=792b6538-55d3-4ded-a2fc-a9eef608febb&cid=119&mid=212
https://www.taipower.com.tw/TC/news2_info.aspx?chk=ba5c81fb-e9f4-4f2d-91bb-9ff61dd55c35&id=4387&mid=18¶m=pn%3d1%26mid%3d18%26key%3d
https://www.taipower.com.tw/tc/news2_info.aspx?chk=e47042a6-3b7f-467f-a562-aadadbfd9d7b&id=6027&mid=225
https://www.taipower.com.tw/TC/download_link.aspx?mid=5503
https://www.taipower.com.tw/TC/subscriptionRSS.aspx?mid=408
https://www.taipower.com.tw/TC/page.aspx?cchk=5ea83c44-c311-428f-baf0-acf2c5565436&cid=107&mid=200
https://www.taipower.com.tw/tc/news2_info.aspx?chk=1c034f90-a0eb-4e75-be5d-a970230dbdac&id=6004&mid=225
https://www.taipower.com.tw/TC/page.aspx?cchk=a7a73918-bca0-474f-92bb-906802695676&cid=4114&mid=6589
https://www.taipower.com.tw/tc/page.aspx?cchk=93348b5b-b515-46a1-8bc6-718fca7a409a&cid=198&mid=40
https://www.taipower.com.tw/tc/pageList.aspx
https://www.taipower.com.tw/TC/page.aspx?cchk=b724a756-1d5d-4251-b414-a6154133b395&cid=18&mid=42
https://www.taipower.com.tw/tc/news2_info.aspx?chk=a7eb8c8e-d6fb-4d2c-ac4c-06a9c3df8ddc&id=5896&mid=18
https://www.taipower.com.tw/tc/page.aspx?cchk=8ce84ad0-fe9e-46ea-ae27-ad659f90a49a&cid=171&mid=216
https://www.taipower.com.tw/tc/news_info.aspx?chk=bd1388cb-22cc-443d-8cd9-c29453181e39&id=6035&mid=17¶m=pn%3d1%26mid%3d17%26key%3d
https://www.taipower.com.tw/tc/page.aspx?cchk=f307c9a0-aba0-43aa-be0f-3e35c9196b6f&cid=2702&mid=223
敘述
OWASP ZAP弱掃發現
內容安全策略”Content-Security-Policy”、 X-Frame-Options Header Not Set 未設定等二項,攻擊者主要在標頭修改瀏覽器頁面呈現的方式,獲得可利用的攻擊參數,修改相關設定可保護其免受各種跨站點注入的侵害,包括跨站點程式。
建議將原始碼修正為
header("Content-Security-Policy-Report-Only: default-src *; img-src https:; frame-src 'none'; report-uri https://yoururl ");
或新增
set up response header
<IfModule mod_headers.c>
Header set X-Frame-Options "SAMEORIGIN"
Header set Content-Security-Policy "default-src 'https://yoururl'"
</IfModule>
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。