Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2024-00417
- 發信 Vendor: TACERT台灣學術網路危機處理中心
- Title: 國立中山大學 畢業及在校生的個人照外洩
- Introduction: 僅需擁有學號,即可存取該學號學生的學生證照片,範圍涵蓋畢業生及在校生
處理狀態
目前狀態
公開
Last Update : 2024/07/19
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2024/04/21 00:27:48 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/21 19:38:49 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/21 19:43:33 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/21 20:57:47 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/23 11:39:24 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/24 16:58:36 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/24 16:59:07 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/27 19:40:55 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/27 22:51:34 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/27 22:52:50 : 新提交 (由 Friday_player 更新此狀態)
- 2024/04/28 03:40:08 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/05/07 19:55:34 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/05/07 19:55:34 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/05/07 19:55:34 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/05/21 21:26:59 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/05/29 10:05:11 : 複測申請中 (由 組織帳號 更新此狀態)
- 2024/06/01 13:19:38 : 確認已修補 (由 Friday_player 更新此狀態)
- 2024/06/05 03:00:07 : 公開 (由 HITCON ZeroDay 平台自動更新)
- 2024/07/19 11:41:03 : 公開 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/07/19 11:41:42 : 公開 (由 HITCON ZeroDay 服務團隊 更新此狀態)
詳細資料
- ZDID:ZD-2024-00417
- 通報者:Fridayer (Friday_player)
- 風險:高
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://sai.nsysu.edu.tw/photo_file/M94/M943010045.jpg
https://sai.nsysu.edu.tw/photo_file/robots.txt
https://sai.nsysu.edu.tw/photo_file/M01/M016070011.jpg
https://sai.nsysu.edu.tw/photo_file/B07/640.jpg
https://sai.nsysu.edu.tw/photo_file/robots.txt
https://sai.nsysu.edu.tw/photo_file/M01/M016070011.jpg
https://sai.nsysu.edu.tw/photo_file/B07/640.jpg
敘述
- 取得中山大學之畢業生或在學生的學生證號碼,如學號M1**。
- 將學號分成前三碼,網址按照組合規則: 「https://sai.nsysu.edu.tw/photo_file/學號前三碼/學號.jpg 」,拼湊起來。
- 舉例透過網路查到學號,並依規則組合起來,即可顯示該學生的學生證照片,如 https://sai.nsysu.edu.tw/photo_file/M94/M******.jpg
- 亦可推敲學號規則並大量爬蟲,獲取大量學號及對應學生照片。
- 經測試依照學號規則,從不同學制(博士、學士)、不同入學年分(94-112年),皆可成功獲得照片且無任何權限管控措施。
僅測試,測試後已將檔案刪除。
該網站亦可http連線,無須SSL加密連線。
修補建議
建議存取檔案移出網站伺服器,並加以控制存取權限設計。
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。