國立中山大學兼任助理系統資訊外洩、任意調閱個資

Vulnerability Overview

ZDID: ZD-2024-00668
發信 Vendor: TACERT台灣學術網路危機處理中心
Title: 國立中山大學兼任助理系統資訊外洩、任意調閱個資
Introduction: 僅需要機構弱帳密登入，可使用代登至助理系統，使用身分證規則可列舉獲得對應個資資訊

處理狀態

目前狀態

公開

Last Update : 2024/07/25

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2024/06/10 14:39:41 : 新提交 (由 J 更新此狀態)
2024/06/10 14:59:42 : 新提交 (由 J 更新此狀態)
2024/06/10 15:00:31 : 新提交 (由 J 更新此狀態)
2024/06/10 21:50:45 : 新提交 (由 J 更新此狀態)
2024/06/13 10:55:48 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/06/14 19:23:10 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/06/14 19:23:10 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 12:38:48 : 已修補 (由組織帳號更新此狀態)
2024/07/17 20:38:42 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 20:43:39 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 20:44:07 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 20:48:49 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 20:50:33 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/17 20:54:53 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2024/07/25 03:00:23 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2024-00668
通報者：CJH (J)
風險：嚴重
類型：資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

參考ZD-2020-00631

發現可由該機構SSO登入後代登入兼任助理系統，且身分範圍有教職員生，下列使用洩漏的弱帳密。
- B**/Aa123456、B**/Aa940110
登入發現可查閱聘僱資料。
https://assist.nsysu.edu.tw/assistant/ass_flow_own_for_back.php?kind=get_flow_idno_by_flow_id&flow_id=1120111096556
Process，點擊「新增流程」，發現只需要提供身分證字號，如果資訊正確，即可提供對應的個資資訊。
個資如: 身分證字號、姓名、性別、出生年月日、戶籍地址、通訊地址、連絡電話、手機、學號、系所、Email。
(若無該欄位資料將會空格顯示)
- 使用身分證: A***等
- 發現可獲得疑似非該機構人員資料。
發現API資訊，只需要有效的SESSION即可正常使用呼叫。
https://assist.nsysu.edu.tw/assistant/ass_flow_set_for_back.php?kind=get_idno_info_by_idno&idno= + 身分證字號
發現登入後SESSION，可異地使用。
上傳檔案介面存在上傳汙染檔案。