淡江大學校園徵才線上博覽會刪除職缺功能 Broken Access Control

Vulnerability Overview

ZDID: ZD-2025-01126
發信 Vendor: 淡江大學校園徵才線上博覽會
Title: 淡江大學校園徵才線上博覽會刪除職缺功能 Broken Access Control
Introduction: 刪除職缺功能 Broken Access Control

處理狀態

目前狀態

公開

Last Update : 2025/09/26

新提交
已審核
已通報
已修補
已複測
公開

處理歷程

2025/09/04 18:45:33 : 新提交 (由 yusheng 更新此狀態)
2025/09/04 18:45:59 : 新提交 (由 yusheng 更新此狀態)
2025/09/07 18:02:58 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/09/18 13:15:06 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/09/18 13:15:06 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/09/18 13:15:06 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/09/19 08:37:44 : 複測申請中 (由組織帳號更新此狀態)
2025/09/22 18:30:25 : 確認已修補 (由 yusheng 更新此狀態)
2025/09/26 03:00:12 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2025-01126
通報者：cat1528985 (yusheng)
風險：中
類型：存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料，或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

重現漏洞方式

免費註冊公司帳號 http://spirit.tku.edu.tw:8088/job/index.php?qs=zd1czZLoqxC0jMy9qNDMuejhjNrHyJ15mJLuq2DMvuvX&valid=1
新增職缺
觀察到刪除職缺的功能是用 GET http://spirit.tku.edu.tw:8088/job/member/job_item_delete.php?id=4809 實作
直接用 CMD 下指令 curl http://spirit.tku.edu.tw:8088/job/member/job_item_delete.php?id=4809
重整職缺頁面，發現職缺真的被刪除了

PoC 影片

刪除 id=4808 的職缺：https://drive.google.com/file/d/1caKeUYMW-ZKhQICt8oZ02fPBhEhYTalR/view?usp=drive_link
刪除 id=4809 的職缺：https://drive.google.com/file/d/1ziSv1W68tVkLKC3n-FxGVc2hHcadoUtx/view?usp=drive_link

影響

id 是流水號，用一個 for 迴圈，理論上就可以把企業刊登的所有職缺都刪除

修補建議

1. 刪除功能改成用 HTTP delete Method（使用 get method，即便有 Auth 認證，還是會有 CSRF 的漏洞）
2. 刪除功能需加上 Auth 認證

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

淡江大學校園徵才線上博覽會刪除職缺功能 Broken Access Control - HITCON ZeroDay

Vulnerability Detail Report