全國特殊教育資訊網後台網站管理不當 - HITCON ZeroDay
文章推薦指數: 80 %
全國特殊教育資訊網後台網站,可任意註冊未經審核可以登入後台網站。
2.登入後可以任意新增刪除資料。
3.可以任意編輯共用的雲端文件檔案。
漏洞
全部
活動中
修補中
公開
VulnerabilityDetailReport
VulnerabilityOverview
ZDID:
ZD-2018-01812
發信
Vendor:
unknown
Title:
全國特殊教育資訊網後台網站管理不當
Introduction:
後台網站管理不當
處理狀態
目前狀態
公開
LastUpdate:2019/02/25
新提交
已審核
已通報
已修補
已複測
公開
處理歷程
2018/12/2714:00:31
:
新提交(由傳說中的廢人更新此狀態)
2018/12/2722:40:54
:
審核完成(由HITCONZeroDay服務團隊更新此狀態)
2018/12/2813:55:58
:
修補中(由HITCONZeroDay服務團隊更新此狀態)
2018/12/2813:55:58
:
審核完成(由HITCONZeroDay服務團隊更新此狀態)
2018/12/2813:55:58
:
修補中(由HITCONZeroDay服務團隊更新此狀態)
2019/02/2113:51:54
:
複測申請中(由組織帳號更新此狀態)
2019/02/2114:40:18
:
確認已修補(由傳說中的廢人更新此狀態)
2019/02/2503:00:05
:
公開(由HITCONZeroDay平台自動更新)
詳細資料
ZDID:ZD-2018-01812
通報者:elijiachen(傳說中的廢人)
風險:中
類型:存取控制缺陷(BrokenAccessControl)
參考資料
攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。
OWASPTop10-2017A5-BrokenAccessControl
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284:ImproperAccessControl
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。
)
相關網址
https://special.moe.gov.tw/myadmin/login.php
敘述
1.全國特殊教育資訊網後台網站,可任意註冊未經審核可以登入後台網站。
2.登入後可以任意新增刪除資料。
3.可以任意編輯共用的雲端文件檔案。
建議進行適當的審核管理,避免未經授權使用網站。
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;
延伸文章資訊
- 1臺中市特殊教育粉絲團- 轉學特司全國特教資訊網研習系統處理 ...
首次登入全國特殊教育資訊網後台,如遇操作問題,可參考附件操作手冊。 https://special.moe.gov ...
- 2全國特教資訊網後台管理
- 3全國特教資訊網後台 - 輕鬆健身去
全國特教資訊網後台管理- 全國特殊教育資訊網app, web app, responsive, admin dashboard, admin, flat, flat ui, ui kit, of...
- 4全國特殊教育資訊網特教研習使用者操作說明手冊
(一) 後台. 1. 可透過上方的查詢功能快速找尋所需的研習資料。 2. 點選. 即可進入新增研習資料的頁面。 3. 點選該場【研習名稱】 ...
- 5研習報名 - 全國特殊教育資訊網
《 縣市教育局特教研習活動》開啟查詢↓.