Sean's Note
- Posts
- Categories
-
May 18, 2017
從零開始的 Telegram Bot
Telegram 簡介 Telegram 是一款集成眾多優點 (e.g., 快速, 自由, 輕量 etc.) 的通訊軟體 不管是親友間閒聊,或是社群間討論,用 Telegram 都較 LINE 適合 Telegram API 類型 Client API 使用電話號碼登入,等同於一般使用者帳號 無 inline button 等 bot 特色功能 大多應用可由 telegram-cli 達成...
Read More -
Feb 19, 2017
新北市校務行政系統學生個資外洩
影響範圍 全誼科技所維護之新北市國高中小輔導記錄系統 無法證實同公司開發之其他縣市校務行政系統是否存在相同問題 發現過程 側邊攔學生輔導資料內友善列印並非直接帶入當前 Session 使用者之資料,而是依照 stdid 參數選取資料 此處可將 stdid 換為其他數字,將會顯示其他同校學生之輔導資料,經確認發現近二十年資料均可自由調閱 以 014356 清水高中 為例,約自 16,000 至 43,000 皆有零散資料,可由此推測漏洞嚴重性 GET https://esa.ntpc.edu.tw/jsp/stdassist/stdsem-p2.jsp?stdid=42747&before_seyear=105&print_type=html Cookies: JSESSIONID=blabbalbblab 洩漏之資料包含姓名、學號、身分證字號、生日、住址、電話,及其他隱私資料 時間軸 日期 事件 Feb 12...
Read More -
Dec 5, 2016
Smokeping Config Generator
簡介 Smokeping 是由外國神人所製作的網路狀況監控工具 對於監測 API 及自家網路都很好用 詳請參閱前篇文章 使用時機 大多數人在 host, menu 等值不需要特意更改,但卻需要個別輸入 因此製作此一腳本自動產生可支援巢狀結構之 Targets Generator 使用方法 安裝 Smokeping 進入設定目錄 cd /etc/smokeping/ Clone 產生器 git clone https://github.com/Sea-n/smokeping-config-generator.git generator 進入產生器目錄 cd generator...
Read More -
Oct 24, 2016
新北等眾多縣市校務行政系統存在任意讀取個資漏洞
影響範圍 全誼科技所維護之各縣市校務行政系統 新北市國中小 新竹縣國中小 花蓮縣 基隆市 其他某些學校,詳請參見全誼網站 發現過程 由側邊攔家長帳號登記內家長帳號申請輸入家長身份證字號 並在點擊檢查後無條件顯示資料 期間共發出這筆 POST Request 且不需帶認證資料、驗證碼 POST https://esa.ntpc.edu.tw/jsp/olreg/OlregAction.do?method=getAdData idno=A123456789 [{"birthday":"2014/09/01","AD":"1","name":"陳思卉","birthday1":"20140901","birthday2":"103/09/01","idno":"A123456789"}] 自動帶出此身份證於資料庫的姓名、生日 後記 此漏洞已於回報後改為需要帶已登入之 Session ID 但仍未加入驗證碼或是限制短時間內請求次數 由於學生 ID 為身份證字號,如有心要利用,可以同縣市內大多數學生之身分證 prefix (Ex. A131,...
Read More -
Oct 10, 2016
Smokeping - 網路延遲數據 (圖表)
簡介 Smokeping 是由外國神人所製作的網路狀況監控工具 在設定完成後會自動追蹤對指定主機的延遲 並能在指定條件 (如延遲過高、主機離線) 時以 mail 通知指定清單內的使用者 對於監測 API 及自家網路都很好用 使用範例 Sean KKBOX 介面截圖 進入單個選單會有此類別下近 10 小時內的狀況預覽 (可於 Presentation 中的 overview.range 修改) 點進單個 Target 後預設有 3 Hour, 30...
Read More