Vulnerability Overview

ZDID: ZD-2023-00422
發信 Vendor: 國立中興大學
Title: 中興大學單一簽入系統未驗證URL轉址&驗證碼失效
Introduction: 未驗證被更改之URL導致可跳轉至其他網頁；驗證碼前端運行

處理狀態

目前狀態

公開

Last Update : 2023/10/11

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2023/08/11 00:05:02 : 新提交 (由 DL56 更新此狀態)
2023/08/14 10:03:38 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/08/14 15:46:33 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/08/14 15:46:34 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2023/10/11 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2023-00422
通報者：dinlon5566 (DL56)
風險：低
類型：未驗證的 URL 轉址 (Unvalidated Redirects and Forwards)

參考資料

攻擊者可利用該漏洞將受害者導向至惡意網站。

OWASP Top 10 2010 - A10 - Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Top_10_2010-A10-Unvalidated_Redirects_and_Forwards

Unvalidated Redirects and Forwards Cheat Sheet
https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet

CWE-601: URL Redirection to Untrusted Site ('Open Redirect')
http://cwe.mitre.org/data/definitions/601.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

未驗證URL轉址

使用以下網址進入登入入口，其中 target 修改為目的網址 :

https://idp.nchu.edu.tw/nidp/idff/sso?id=20&sid=8&option=credential&sid=8&target=https://www.google.com.tw/

回應中 Set-Cookie 中可得到一組 SESSION ID 與 MemberID。

使用以上Cookie與可用帳戶進行登入，登入成功將會收到目的網址的導向。

用戶收到被汙染的網址後，只要登入成功將會被送到目的網址。

驗證碼失效

查看網頁原始碼，可發現 createCode() 與 validateCode() 驗證碼函數。推斷驗證碼由前端運行，但把驗證碼放在POST data中假裝使用伺服器驗證，導致可不透過驗證碼進行大量密碼猜測。

將可用帳號的登入請求去除驗證碼，發現亦可登入。

使用 Burp Intruder 進行字典攻擊，測試500筆皆可收到登入失敗回應而非拒絕服務。

備註 : 若登入失敗會收到此回應回到上一頁。

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N Score:4.3(Medium)

修補建議

# 未驗證URL轉址
確保所有重定向的URL均限於受信任的域名和路徑。
強化驗證流程，例如增加一次性token或其他伺服器端驗證機制。
# 驗證碼失效
將驗證碼的生成和驗證過程完全移至伺服器端，並確保每次驗證後的驗證碼都會失效。
限制登入失敗的次數，例如每個IP地址或帳戶在一定時間內的嘗試次數，以防止自動化攻擊。
加強前端和後端的驗證機制，例如加入多因素身份驗證（MFA）等。