國立清華大學 校友系統 IDOR - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-01018
  •  發信 Vendor: 國立清華大學
  • Title: 國立清華大學 校友系統 IDOR
  • Introduction: 檔名枚舉、個資外洩

處理狀態

目前狀態

公開
Last Update : 2024/12/22
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 未複測
  • 公開

處理歷程

  • 2024/08/31 21:25:04 : 新提交 (由 鄉民 更新此狀態)
  • 2024/09/02 17:27:57 : 新提交 (由 鄉民 更新此狀態)
  • 2024/09/02 17:34:25 : 新提交 (由 鄉民 更新此狀態)
  • 2024/09/05 16:56:41 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/10 22:27:03 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/10 22:27:03 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/09/10 22:27:03 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/10/25 13:14:10 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2024/11/09 08:14:50 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2024/11/19 11:03:42 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2024/12/04 09:48:52 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2024/12/22 03:00:05 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-01018
  • 通報者:鄉民
  • 風險:高
  • 類型:不安全的直接存取物件 (Insecure Direct Object References, IDOR)

參考資料

攻擊者可經由該漏洞取得系統中的其他使用者的資料或是系統檔案。

OWASP Top 10 - 2013 A4 - Insecure Direct Object References
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References

Insecure Direct Object Reference Prevention Cheat Sheet
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.md

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.alumni.nthu.edu.tw//Upload/

敘述

申辦校友證,需上傳照片和身分證,上傳之後可以利用下面連結取得已上傳檔案
無其他驗證機制,只要知道姓名,爆破 TIMESTAMP 和 Fileextension 即可下載檔案

URL 格式

ABC 為姓名
TIMESTAMP 是時間,如 20240831230110 (2024年8月31號23時01分10秒),兩個檔案的 TIMESTAMP 一樣,應該是根據上傳時間

2吋照片 Fileextension 可為 jpg、png
身份證 Fileextension 可為 gif、jpg、png、pdf

範例

經過測試應該無 WAF 並且檔案存取無其他限制,可以寫腳本爆破

修補建議

1. 不要提供下載功能

2. 加上其他參數作為驗證,如 uuid、hash,uuid、hash 與該檔案綁定

範例
- https://www.alumni.nthu.edu.tw//Upload/2吋照片_王小明_20240831230110.png?hash=8959688c79aa55af14c36c823ab49dead9695d26
- https://www.alumni.nthu.edu.tw//Upload/身份證_王小明_20240831230110.pdf?uuid=0191a89b-1b57-70bb-87ac-bc1634bb1bb3

3. 身份驗證完畢,檔案立即刪除

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;