國立中山大學 畢業生和在校生之個資外洩 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-00701
  •  發信 Vendor: TACERT台灣學術網路危機處理中心
  • Title: 國立中山大學 畢業生和在校生之個資外洩
  • Introduction: 權限控制失效,透過網頁只需依學號,即可快速調閱學生資料,影響範圍所有學生。

處理狀態

目前狀態

公開
Last Update : 2024/07/13
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2024/06/20 21:28:02 : 新提交 (由 Friday_player 更新此狀態)
  • 2024/06/23 17:31:32 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/06/25 20:17:52 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/06/25 20:17:52 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/06/25 20:17:52 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/07/05 17:59:35 : 已修補 (由 組織帳號 更新此狀態)
  • 2024/07/13 03:00:13 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-00701
  • 通報者:Fridayer (Friday_player)
  • 風險:嚴重
  • 類型:邏輯漏洞 (Logic Flaws)

參考資料

攻擊者可經由該漏洞繞過網站邏輯行為進行惡意攻擊。

漏洞說明: OWASP - Testing for business logic
https://www.owasp.org/index.php/Testing_for_business_logic

漏洞說明: CWE-840: Business Logic Errors
https://cwe.mitre.org/data/definitions/840.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://sis.nsysu.edu.tw/graduated/page1_chinese.php?ID=B081060039
https://sis.nsysu.edu.tw/graduated/page1_english.php?ID=B081060039
https://sis.nsysu.edu.tw/graduated/page1_chinese.php?ID=TTk0MzAxMDA0NQ==&GPID=7
https://sis.nsysu.edu.tw/graduated/page1_english.php?ID=TTk0MzAxMDA0NQ==&GPID=7
https://sis.nsysu.edu.tw/graduated/page1_chinese.php?ID=TTk0MzAxMDA0NQ==&GPID=7&APFLAG=03
https://sis.nsysu.edu.tw/graduated/page1_english.php?ID=TTk0MzAxMDA0NQ==&GPID=7&APFLAG=03
https://sis.nsysu.edu.tw/graduated/page1_chinese.php?ID=QjA3NjA2MDAxOA==&GPID=7&APFLAG=9527XD
https://sis.nsysu.edu.tw/graduated/page1_english.php?ID=QjA3NjA2MDAxOA==&GPID=7&APFLAG=9527XD

敘述

  1. 開啟「畢業生離校問卷」網頁,發現所需的對應參數;ID、GPID、APFLAG。
    圖片

  2. 發現所需的對應參數,測試ID用學生學號作為引數。

    • ID: 嘗試用「學號」和「經Base64演算法將學號轉換得出」,如: B081060039 轉換成 QjA4MTA2MDAzOQ==。

      BASE64 encode可Google得到線上轉換的工具網頁。

    • GPID: 經過測試流水號後得到「7」, GPID=7
    • APFLAG: 發現該參數可不使用、或空值、任意值,從系統發現預設填03,如: APFLAG=、APFLAG=9527XD、APFLAG=03

  3. 測試用學號,並轉換成對應Base64,如下:

    • B081060039 | QjA4MTA2MDAzOQ==
    • M943010045 | TTk0MzAxMDA0NQ==
    • B076060018 | QjA3NjA2MDAxOA==
      圖片

  4. 利用離校問卷第一頁(中文版)或(英文版)經過交叉測試參數組合,得到以下都可以獨立運作成功:

    中文問卷

  5. 依照上述點的組合,測試GET或POST方式,以下測試僅提供GET方式,可獲得學生個資。
    個資如: 姓名、學號、系所、身分證字號、戶籍通訊地址、手機/市話、個人Email。
    圖片
    圖片

  6. 發現更新網頁session(PHPSESSION),瀏覽器可用人工刪除,網頁將會重新獲得,
    額外發現: 使用該SESSION ID使用更換瀏覽器亦可獲得該學生狀態。
    圖片

  7. 可透過程式化獲得依照該校學號規則,獲得全校畢業或在校生的個資。

總結進入該頁面進入方法共有6種(3條路*2結果頁面)路徑,整理如下:

方法一

e.g. https://sis.nsysu.edu.tw/graduated/page1_chinese.php?ID=M943010045

方法二

e.g https://sis.nsysu.edu.tw/graduated/page1_chinese.php?ID=TTk0MzAxMDA0NQ==&GPID=7

方法三

e.g. https://sis.nsysu.edu.tw/graduated/page1_chinese.php?ID=TTk0MzAxMDA0NQ==&GPID=7&APFLAG=9527XD

資訊外洩
透過問卷送至第二頁,將會出現sql完整語法和指令錯誤。
圖片

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;