Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00318
- 發信 Vendor: 康軒文教事業股份有限公司
- Title: 康軒公司個資管控缺乏權限管理
- Introduction: Base64編碼不是加密,把網址的base64解密後就可以存取任意人事資料了,是不是很扯?
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2026/03/05 18:53:14 : 新提交 (由 Pichu Chen 更新此狀態)
- 2026/03/06 23:40:49 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/13 17:06:15 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/13 17:06:15 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/13 17:06:15 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/17 22:07:13 : 複測申請中 (由 組織帳號 更新此狀態)
- 2026/03/17 22:17:12 : 未修補完成 (由 Pichu Chen 更新此狀態)
- 2026/03/24 09:19:50 : 複測申請中 (由 組織帳號 更新此狀態)
- 2026/03/24 14:04:28 : 確認已修補 (由 Pichu Chen 更新此狀態)
- 2026/03/28 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2026-00318
- 通報者:PichuChen (Pichu Chen)
- 風險:嚴重
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
相關網址
敘述
漏洞種類
缺乏權限驗證(Broken Access Control / IDOR)
漏洞描述
系統於存取「新進人員資料表(HR 後台管理)」資料時,未對使用者身分或存取權限進行驗證。
攻擊者只需構造特定 URL 參數,即可直接取得 HR 系統中的人員資料。
該系統使用 t 參數作為資料查詢依據,內容為 base64 編碼的查詢參數。
由於伺服器端未驗證使用者是否具有對應 HRID 的存取權限,導致任何人皆可透過構造參數直接存取資料。
此外,HRID 為連續遞增整數(Sequential ID),可透過簡單枚舉方式遍歷所有資料。
經測試發現,除了可讀取資料外,若透過相同方式存取相關表單操作介面,亦可對資料進行修改並提交更新,顯示系統缺乏對資料操作的授權檢查。
因此未授權使用者可能對 HR 系統中的人員資料進行未經授權的變更。
漏洞重現方式
將 URL 參數 t 設定為以下內容的 base64 編碼:
`iType=3&HRID=1&tab=1
| 參數說明: | 參數 | 說明 |
|---|---|---|
iType |
表單類型參數,其中 3 代表「新進人員資料表 (HR後台管理)」 |
|
HRID |
HR 資料表之主鍵,為連續遞增整數 | |
tab |
表單頁面編號 |
將上述字串進行 base64 編碼後,即可直接存取資料:
T=`echo -n 'iType=3&HRID=1&tab=1' | base64`
curl "https://passport.kcis.ntpc.edu.tw/Resume/?t=$T"伺服器會直接回傳該 HRID 對應之完整人員資料頁面。
由於 HRID 為連續數值,可透過簡單迴圈枚舉取得所有資料,例如:
HRID = 1..N因此攻擊者可在 O(n) 時間內遍歷整個資料庫中的所有 HR 人員資料。
此外,透過對應表單提交請求,亦可能對既有資料進行修改。
影響範圍
該漏洞可能導致 HR 系統內大量個人資料被未授權存取。
依據畫面顯示之欄位,可能洩漏之個人資料類型包含:
C001 辨識個人者
- 姓名
- 職稱
- 相片
- 電子郵件地址
C002 辨識財務者
- 金融機構帳戶號碼
C003 政府資料中之辨識者
- 身分證統一編號
- 證照號碼
- 護照號碼
C011 個人描述
- 性別
- 出生年月日
- 出生地
- 國籍
C012 身體描述
- 身高
- 體重
C013 習慣
- 是否吃素
C021 家庭狀況
C023 家庭其他成員細節
C024 其他社會關係
- 推薦人資訊
C031 住家及設施
- 住址
C039 執照或其他許可
C051 學校紀錄
C052 資格或技術
C061 現行受雇情形
C064 工作經驗
可能影響資料量
實際測試結果顯示:
- 有填寫資料的 HRID 範圍: 4 ~ 524
- HRID 1~3 為測試資料
其中 HRID 4 的資料完成時間為:2025/03/19 23:35:34
目前時間為:2026/03/05
因此推估:
約 520 名於最近一年間應徵或入職之人員個人資料可能存在未授權存取風險。
風險評估
該漏洞具有以下特性:
- 不需登入
- 不需特殊權限
- 可遠端利用
- 可批次自動化下載
- 涉及大量高敏感個人資料
若遭惡意利用,可能造成:
- 大量個資外洩
- 身分盜用
- 金融詐騙
- 社交工程攻擊
建議將此漏洞視為高風險(High Severity)個資外洩問題。
修補建議
建議在網址中改成使用 JWT 相同有效性之方式傳遞原有參數,同時 JWT 應該設定合理的 not_after 參數降低金鑰外洩後之影響範圍。
另外減少儲存面試所需要之必要欄位例如性別或是身分證字號也可以降低外洩後之損害幅度。
建議採取以下措施:
1. 實作完整的身分驗證與授權控制
* 僅允許已登入且具有 HR 權限之使用者存取資料
* 檢查使用者是否具有該 HRID 的存取權限
2. 避免使用可枚舉的 ID
* 避免使用連續整數作為可公開存取之識別碼
* 可改為 UUID 或不可預測的 token
3.增加伺服器端存取控制
* 驗證 session
* 檢查使用者角色
4. 增加存取紀錄與異常偵測
* 監控異常大量查詢行為
* 建立 audit log