國立中山大學 網頁權限失控可調閱任意學生個資外洩 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-00811
  •  發信 Vendor: TACERT台灣學術網路危機處理中心
  • Title: 國立中山大學 網頁權限失控可調閱任意學生個資外洩
  • Introduction: 中山大學學事處網頁權限控制失效使任何人可任意調閱該單位所有學生資料(不分在校或畢業等)。

處理狀態

目前狀態

公開
Last Update : 2024/09/05
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2024/07/21 18:24:54 : 新提交 (由 Friday_player 更新此狀態)
  • 2024/07/25 17:11:26 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:16:08 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:16:08 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:16:08 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:29:19 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:30:52 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:32:11 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/12 17:33:48 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/08/28 10:21:08 : 已修補 (由 組織帳號 更新此狀態)
  • 2024/09/05 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-00811
  • 通報者:Fridayer (Friday_player)
  • 風險:嚴重
  • 類型:未驗證的 URL 轉址 (Unvalidated Redirects and Forwards)

參考資料

攻擊者可利用該漏洞將受害者導向至惡意網站。

OWASP Top 10 2010 - A10 - Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Top_10_2010-A10-Unvalidated_Redirects_and_Forwards

Unvalidated Redirects and Forwards Cheat Sheet
https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet

CWE-601: URL Redirection to Untrusted Site ('Open Redirect')
http://cwe.mitre.org/data/definitions/601.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://sis.nsysu.edu.tw/fram_link.php
http://140.117.147.234/sms/student_list/student_option1.php?ID=D120004964&GPID=10&APFLAG=01
https://sis.nsysu.edu.tw/sms/student_list/student_option1.php?ID=D120004964&GPID=10&APFLAG=01
https://sis.nsysu.edu.tw/sms/student_list/student_option1.php?academy=1 [1-8|A|B]
https://sis.nsysu.edu.tw/sms/student_list/student_show.php
https://sis.nsysu.edu.tw/sms/student_list/query_check.php
https://sis.nsysu.edu.tw/sms/student_list/show_person.php?stuid=M116020013&status=1
https://sis.nsysu.edu.tw/sms/student_list/show_person.php?stuid=M943010045&status=2
https://sis.nsysu.edu.tw/sms/student_list/show_person_1.php?stuid=M116020013&status=1
https://sis.nsysu.edu.tw/sms/student_list/show_person_1.php?stuid=M943010045&status=2

敘述

  1. 掃描發現一連結,疑似開發人員早期使用頁面,可能更換伺服器IP位置後框架載入失效。

  2. 更換成當前伺服器網域後,發現可正常開啟並完成無須登入的身分驗證。

  3. 依網頁各項功能即可調閱

    • https://sis.nsysu.edu.tw/sms/student_list/student_option1.php
    • 系所年級查詢,可查詢1~7年級內在校生。
    • 依學生學號查詢,學號正確可查在校和非在校(畢業)
    • 依學生中文姓名查詢,可查詢本國和外籍
    • 依學生英文姓名查詢,可查詢本國和外籍
      ※網頁下方有提供查詢功能友善教學。
      圖片

  4. 依系所年級查詢
    4.1 發現學院參數(academy)

    • 文學院:1、理學院:2、工學院:3、管理學院:4、海科院:5、社科院:6、西灣學院:7、醫學院:8、半導體學院:A、國際金融學院:B
      4.2 可秀出依查詢條件得到的資訊,全部勾選後一次顯示所有人的詳細個資
      圖片
      4.3 亦可個別顯示單一學生的詳細個資
      學生照、學號、中文姓名、英文姓名、國籍籍貫、性別、出生年月日、私人信箱、連絡電話、行動電話、通訊地址、緊急聯絡人姓名及電話
      圖片

  5. 依學生學號查詢

    • 檢測畢業老生是否可以被調閱,發現其網址參數status畢業後會顯示2。
      圖片

  6. 依學生姓名查詢(不分中英姓名)

    • 可用SQL萬用字元加速調閱資料。由截圖證據看出名字為關聯性。
    • 架站使用XAMPP資料庫可能為MySQL。
      圖片
    • 預設POST查詢,發現亦可用GET查詢。
      圖片

其他發現

  1. 解析網址發現參數含意。

  2. 點擊學生照片研究規則後,仍是Base64編碼,經測試有70的8次方種組合可獲得照片參數值。

    • 學號執行兩次Base64轉換後,字串前方增加8個隨機字元,再進行一次Base64即可獲得照片的sid參數值。
    • M943010045 -> TTk0MzAxMDA0NQ== -> VFRrME16QXhNREEwTlE9PQ==。
    • NSYSUCSE + UWpFeU1UQXhNREF3TlE9PQ== ->「 NSYSUCSEUWpFeU1UQXhNREF3TlE9PQ==」。
    • 「TlNZU1VDU0VVV3BGZVUxVVFYaE5SRUYzVGxFOVBRPT0=」。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;