Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2022-01050
- 發信 Vendor: 台新國際商業銀行
- Title: 台新銀行 無效的存取控管存在無效的存取控管
- Introduction: 可查看任意人的資產配置狀況
處理狀態
目前狀態
公開
Last Update : 2023/05/23
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2022/12/27 14:00:52 : 新提交 (由 chchou 更新此狀態)
- 2022/12/27 14:08:23 : 新提交 (由 chchou 更新此狀態)
- 2022/12/27 14:09:19 : 新提交 (由 chchou 更新此狀態)
- 2023/01/01 15:43:07 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/01/01 15:43:15 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/01/01 15:43:15 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/01/03 17:24:18 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/01/03 17:24:18 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/01/03 17:24:19 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/03/12 03:00:09 : 公開 (由 HITCON ZeroDay 平台自動更新)
- 2023/05/05 15:30:18 : 複測申請中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2023/05/23 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2022-01050
- 通報者:chchou (chchou)
- 風險:低
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://bhurecv.taishinbank.com.tw/taishin_ba/TaishinKNEPieChartv2.aspx?ID=895633&Query_Date=2022/12/07%2000:00:00
敘述
台新銀行針對其用戶定期會寄送「台新銀行綜合對帳單」,其中有一張圖片會顯示該用戶在台新銀行的資產配置狀況,如下圖
直接修改網址後方的ID參數,可獲得其他人在台新銀行的資產配置狀況,但目前尚無法得知用戶確切身分,所以其應為低風險,試著將ID從895633改為895123,如下圖
修補建議
針對系統功能頁面與參數,應檢查對應權限,並控管各帳號權限存取範圍,降低使用者跨越權限存取功能
網頁所使用之網址路徑與參數,建議進行編碼或不易猜測之規律,減少透過簡單掃描與猜測獲知重要功能之路徑
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。