Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-01580
- 發信 Vendor: 巨耀資訊顧問有限公司
- Title: 巨耀資訊顧問有限公司校務系統權限漏洞
- Introduction: 未經授權存取導致的敏感個資外洩與 IDOR 權限控制缺失
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2025/12/27 01:47:31 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/27 01:50:45 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/27 01:51:50 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/27 02:04:44 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/27 13:06:06 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/28 01:51:40 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/29 17:51:27 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/29 17:51:53 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/29 17:55:48 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/29 18:23:19 : 新提交 (由 Nick Huang 更新此狀態)
- 2025/12/30 22:52:53 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/05 14:45:36 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/05 14:45:36 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/05 14:45:36 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/12 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-01580
- 通報者:Godwhite (Nick Huang)
- 風險:高
- 類型:不安全的直接存取物件 (Insecure Direct Object References, IDOR)
參考資料
OWASP Top 10 - 2013 A4 - Insecure Direct Object References
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References
Insecure Direct Object Reference Prevention Cheat Sheet
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.md
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
相關網址
https://hschool-mlife.k12ea.gov.tw/ecampus_KH/Login.action?schNo=580301D
敘述
本漏洞可利用單一學生帳號發送請求取得 12 小時內所有有登入系統的學生 UUID。
並且利用 UUID 可取得學生個人資料、成績、操作請假紀錄等,等於登入了該學生的帳號。
- 這是利用學生帳號登入後,網頁會回傳上次登入系統紀錄,包含 12 小時內的紀錄與 UUID。
- 發現請求包含 accountId,只會顯示該帳號的紀錄。
- 利用控制台發送查詢字串不包含 accountId 的請求後,所有人的登入紀錄都被顯示出來了。(橘色線條遮蔽其他學生的資料)
- 可以使用取得到的 UUID 在該系統進行任何操作,例圖透過修改 session 的 UUID,取得到蔡同學的個人資料、成績獎懲紀錄、入學成績、自傳、自我描述、出缺席紀錄等敏感資料、請假功能。
2025/12/27 補充
可利用相同原理可進入教師頁面,可控制學生資料、成績、獎懲清單等敏感資料。
2025/12/28 補充
已確認可利用相同原理進入疑似主任的管理畫面,並可查詢到全體學生的敏感資料,如大頭照、姓名、身分證字號、成績、生日等。
亦可進入學校重要幹部的管理畫面、利用 API 查詢到教師個人資料如姓名、身分證字號。
修補建議
經觀察,貴司現有網頁設計已明顯過時,且在後端邏輯與資安防護上存在嚴重結構性缺陷。系統目前不僅無法抵禦現代化的自動化攻擊,更缺乏基本的權限隔離機制。最嚴重的問題在於,系統將應作為內部標識的 UUID 暴露於公開路徑,使其變相成為攻擊者開啟個資大門的鑰匙。
此外,系統對於高權限帳號(如教師、管理員)的身分驗證機制過於薄弱,極易成為攻擊目標。一旦教師帳號遭非法登入,攻擊者將能利用現有的權限漏洞,大規模串聯並下載全校學生的敏感個資,造成不可挽回的社會負面影響。
身為教育系統服務供應商,守護學生隱私與確保教育場域的資訊安全是企業責任的核心。誠摯建議貴司應儘速採取以下修補措施:
一、 強化身分驗證與存取控制邏輯
1. 落實嚴格授權驗證:所有的個資存取 API 必須與 Session 或 Token 進行強制綁定。系統後端應確實執行:「當前登入者是否具備存取該特定 UUID 資料的合法權限?」嚴禁「只要有 UUID 即可放行」的邏輯。
2. 教師與管理員帳號保護:針對教師帳號應導入多因素驗證(MFA)或更嚴格的登入審核機制,防止帳號遭冒用後導致的大規模資料災難。
3. 移除不安全端點:立即停用任何「未經驗證即可列出 UUID 列表」的 API 介面。若為業務必要,必須設立極高層級的角色權限門檻(RBAC)。
二、 標識符(Identifier)之混淆與深度保護
UUID 雖具備不可預測性,但不應作為唯一的防線。建議在前端傳輸過程中對 UUID 進行二次加密,或採用具時效性的「臨時 Token」取代永久性 UUID 作為查詢標記,以降低標識符外洩後的風險。
三、 落實資料最小化原則(Data Minimization)
應重新審查所有 API 回傳的 JSON/XML 內容。系統應僅回傳該功能「絕對必要」的欄位。例如:在查詢請假紀錄時,嚴禁連帶回傳學生的身分證字號、聯絡地址及家長聯絡電話等無關個資。
四、 系統架構現代化轉型
考量到舊有設計已難以應付現代威脅,建議將核心業務邏輯逐步遷移至具備內建資安防護(如 CSRF 過濾、SQL Injection 防護及規範化授權框架)的現代化開發環境(如 Laravel、Spring Boot 或 .NET Core),從底層根治結構性風險。
最後,建請貴司同步檢查旗下「學習歷程檔案系統」及其他相關平台是否存有相同邏輯缺陷。教育資料不僅是行政紀錄,更是學生的數位資產,不容任何疏忽。
望貴司能正視此問題並儘速回覆改善進度,以維護廣大師生之資訊安全。