臺北城市科技大學 校務資訊系統 IDOR 漏洞導致大規模學生個資與明文密碼外洩 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2026-00351
  •  發信 Vendor: 城市學校財團法人臺北城市科技大學
  • Title: 臺北城市科技大學 校務資訊系統 IDOR 漏洞導致大規模學生個資與明文密碼外洩
  • Introduction: 校務系統之獎學金模組存在 IDOR 漏洞,可越權遍歷全校學生含銀行帳號之個資,並配合弱驗證碼機制強制提取系統明文密碼。
  • 感謝函

處理狀態

目前狀態

公開
Last Update : 2026/04/14
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2026/03/18 23:58:47 : 新提交 (由 small R 更新此狀態)
  • 2026/03/20 10:43:00 : 新提交 (由 small R 更新此狀態)
  • 2026/03/23 23:56:01 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/03/26 18:53:19 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/03/26 18:53:19 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/03/26 18:53:19 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/08 14:26:33 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/10 14:31:02 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/04/10 14:53:04 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2026/04/10 14:56:20 : 確認已修補 (由 small R 更新此狀態)
  • 2026/04/14 03:00:16 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2026-00351
  • 通報者:alaner652 (small R)
  • 風險:嚴重
  • 類型:不安全的直接存取物件 (Insecure Direct Object References, IDOR)

參考資料

攻擊者可經由該漏洞取得系統中的其他使用者的資料或是系統檔案。

OWASP Top 10 - 2013 A4 - Insecure Direct Object References
https://www.owasp.org/index.php/Top_10_2013-A4-Insecure_Direct_Object_References

Insecure Direct Object Reference Prevention Cheat Sheet
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.md

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://siw.tpcu.edu.tw/tsint/perchk.jsp
https://siw.tpcu.edu.tw/tsint/ck_pro/ck200_1.jsp
https://pd.tpcu.edu.tw/webform/PWQuery/PWQuery.aspx

敘述

1. 漏洞背景與成因 (Vulnerability Background)

目標系統之校務資訊系統在處理學生資助與獎學金申請模組時,後端 JSP 程式邏輯未落實「最小特權原則」。系統雖設有首層登入驗證,但在進入資料查詢頁面後,後端 SQL 查詢僅依賴前端傳入之參數,未與當前 Session 進行身分綁定,導致橫向越權 (IDOR) 之風險。

2. 重現步驟與技術證明 (Technical Proof of Concept)

A. 第一階段:橫向越權與 PII 遍歷

  1. 身份同步: 存取 https://siw.tpcu.edu.tw/tsint/perchk.jsp 並利用預設 Guest 權限 (guest/123) 建立有效 Session。
  2. 參數操控:https://siw.tpcu.edu.tw/tsint/ck_pro/ck200_1.jsp 發送 POST 請求,操控 ls_loginid 欄位。
  3. 資訊獲取: 回傳結果包含高度敏感之 PII 資料(姓名、身分證、住址、銀行完整帳號、成績)。

B. 第二階段:憑證提取攻擊鏈 (Attack Chain)

  1. Captcha 繞過: pd.tpcu.edu.tw 之影像驗證碼缺乏動態干擾,可透過 OCR 模組繞過。
  2. 憑證回顯: 驗證通過後,系統直接回傳該學號之原始登入明文密碼

3. 證據附件與 PoC 說明 (Evidence & PoC Demonstration)

  • 附件一:HTTP 請求與回應原始數據 (Burp Suite 截圖) 透過修改 POST Data 中的 ls_loginid 參數,伺服器直接回傳非當前用戶之個資數據。
    圖片
    (註:截圖中已針對非本人個資進行脫敏遮罩處理)

  • 附件二:自動化腳本執行結果 (PoC 工具截圖) 證明此漏洞可被腳本批次化利用,結構化提取個資並串接密碼解鎖機制。
    圖片

4. 影響範圍與潛在威脅 (Impact Assessment)

此漏洞可導致大規模個資外洩與金融詐騙風險。結合第二階段之密碼提取,攻擊者可獲取師生帳戶之完整控制權,導致校內其他關聯系統(如選課、成績、請假)面臨連鎖性資安威脅。

5. 研究觀察與發現初衷 (Research Observations)

本研究由開發校務自動化工具(如:自動查課表、請假腳本)過程中觸發。研究員作為校內學生,於實測中發現包含研究員本人在內之全校學生敏感個資(含銀行帳號)與憑證皆暴露於高風險中,深感隱私威脅。

6. 漏洞修補建議 (Remediation)

  1. 權限邊界校驗: 後端應校驗 ls_loginid 是否歸屬於當前 Session。修正此邏輯後,自動化工具仍可在安全授權下運作,兼顧便利與安全。
  2. 憑證存儲升級: 嚴禁以明文存儲密碼,應改用 Salted Hash,且密碼查詢功能應改為「發送重設信件」而非直接顯示密碼。

7. 研究聲明 (Disclosure Statement)

本通報純屬資安學術研究,旨在協助校方完善防護、保護廣大師生權益。研究員 small R 絕無惡意攻擊意圖,亦未進行任何資料留存或二次傳播。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;