[317] 維修通知單
| 報修內容 | 學校網站漏洞 |
|---|---|
| 報修地點 | 學校網站 |
| 報修日期 | 2019-01-01 10:49:49 |
| 嚴重程度 | 輕微 |
| 報修者 | 訪客 |
| 詳細說明 |
本學校網站的「填寫維修單」具有漏洞 只要發送一個 POST 請求至 http://hs.nnkieh.tn.edu.tw/modules/tad_repair/repair.php?repair_title=標題&repair_content=報修&repair_img[]=&repair_place=地方&unit_sn=5&repair_status=輕微&repair_sn=未登入&op=insert_tad_repair 即會產生一空資料 可被利用點:進行阻斷服務式攻擊 受影響網址: http://hs.nnkieh.tn.edu.tw/modules/tad_repair/repair.php 如圖 315 、 316 號通報等 皆是一個 POST 請求產生之空資料 修補建議: 可參考其他學校 XOOPS 網站將訪客填寫維修單功能刪除 避免有心人士利用訪客功能來進行阻斷服務式攻擊,浪費資源 |
| 照片 |
處理狀況
| 負責單位 | 資訊室IT-國中部含IBST |
|---|---|
| 處理狀況 | 已修復 |
| 回覆內容 | 已回報給tad老師~tad老師修復了~感謝提醒 歡迎同學有空再幫學校網站多找BUG |
| 回覆日期 | 2019-01-01 12:07:28 |
| 回覆者 | 管理員 |
| 照片 |