全國特殊教育資訊網後台網站管理不當 - HITCON ZeroDay

全國特殊教育資訊網後台網站，可任意註冊未經審核可以登入後台網站。

2.登入後可以任意新增刪除資料。

3.可以任意編輯共用的雲端文件檔案。

漏洞 全部 活動中 修補中 公開 VulnerabilityDetailReport VulnerabilityOverview ZDID: ZD-2018-01812  發信 Vendor: unknown Title: 全國特殊教育資訊網後台網站管理不當 Introduction: 後台網站管理不當 處理狀態 目前狀態 公開 LastUpdate:2019/02/25 新提交 已審核 已通報 已修補 已複測 公開 處理歷程 2018/12/2714:00:31 : 新提交(由傳說中的廢人更新此狀態) 2018/12/2722:40:54 : 審核完成(由HITCONZeroDay服務團隊更新此狀態) 2018/12/2813:55:58 : 修補中(由HITCONZeroDay服務團隊更新此狀態) 2018/12/2813:55:58 : 審核完成(由HITCONZeroDay服務團隊更新此狀態) 2018/12/2813:55:58 : 修補中(由HITCONZeroDay服務團隊更新此狀態) 2019/02/2113:51:54 : 複測申請中(由組織帳號更新此狀態) 2019/02/2114:40:18 : 確認已修補(由傳說中的廢人更新此狀態) 2019/02/2503:00:05 : 公開(由HITCONZeroDay平台自動更新) 詳細資料 ZDID：ZD-2018-01812 通報者：elijiachen(傳說中的廢人) 風險：中 類型：存取控制缺陷(BrokenAccessControl) 參考資料 攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料，或連線至高權限使用者的頁面。

OWASPTop10-2017A5-BrokenAccessControl https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control CWE-284:ImproperAccessControl https://cwe.mitre.org/data/definitions/284.html (本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。

) 相關網址 https://special.moe.gov.tw/myadmin/login.php 敘述 １.全國特殊教育資訊網後台網站，可任意註冊未經審核可以登入後台網站。

2.登入後可以任意新增刪除資料。

3.可以任意編輯共用的雲端文件檔案。

建議進行適當的審核管理，避免未經授權使用網站。

擷圖 留言討論 登入後留言 聯絡組織  發送私人訊息 您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

;