教育部 某校公告預設帳密導致個資外洩 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-00599
  •  發信 Vendor: TACERT台灣學術網路危機處理中心
  • Title: 教育部 某校公告預設帳密導致個資外洩
  • Introduction: 透過OO大學教務處公告發現預設帳密規則,導致外洩學生個資

處理狀態

目前狀態

公開
Last Update : 2024/07/16
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2024/05/26 22:13:09 : 新提交 (由 J 更新此狀態)
  • 2024/05/26 22:34:27 : 新提交 (由 J 更新此狀態)
  • 2024/05/26 22:37:48 : 新提交 (由 J 更新此狀態)
  • 2024/05/26 23:48:17 : 新提交 (由 J 更新此狀態)
  • 2024/05/26 23:48:39 : 新提交 (由 J 更新此狀態)
  • 2024/05/27 11:32:22 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/06/12 17:51:56 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/06/12 17:51:57 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/07/08 13:39:08 : 已修補 (由 組織帳號 更新此狀態)
  • 2024/07/16 03:00:17 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-00599
  • 通報者:CJH (J)
  • 風險:嚴重
  • 類型:弱密碼 (Weak Passwords)

參考資料

使用預設密碼或過於簡單之密碼,可經由該問題取得後台完整權限,且容易造成大量資訊外洩。

OWASP Top 10 - 2017 A2 - Broken_Authentication
https://www.owasp.org/index.php/Top_10-2017_A2-Broken_Authentication

CWE-521: Weak Password Requirements
https://cwe.mitre.org/data/definitions/521.html

HOW SECURE IS MY PASSWORD?
https://howsecureismypassword.net/
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://oaa.nsysu.edu.tw/p/406-1003-152247.php
https://ethics-s.moe.edu.tw/
https://ethics-s.moe.edu.tw/login/s/
https://ethics-s.moe.edu.tw/myaccount/

敘述

  1. 中山大學教務處公告說明教育部的「學術研究倫理教育研習課程」的帳號密碼規則。

  2. 隨機用該校的學號規則,拚測一組可以用的碩士班帳號,並測試成功登入完成。
    圖片
    圖片

  3. 首次登入或個人資料皆外洩學生的個人資料。
    圖片
    圖片

其他發現

  1. 選項前端註解,但解開後仍可以正常下一步。
  2. 身分驗證使用後三碼,只是1000種組合。建議身分驗證複雜度提高。

修補建議

1. 建議有需才開通帳號避免大量預設帳密在系統。
2. 若預設帳密一段時間都沒登入,建議停用帳號,後續使用者有需要再向承辦人申請開通,避免預設帳密長期有效。
3. 查閱網站時發現建立帳號有密碼規則,但給該校建立的學生帳號並無按照此規則。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;