[322] 維修通知單
| 報修內容 | 學校網站漏洞 |
|---|---|
| 報修地點 | 學校網站 |
| 報修日期 | 2019-01-01 18:33:28 |
| 嚴重程度 | 中等 |
| 報修者 | 訪客 |
| 詳細說明 |
tad_book3 模組 無權限管理機制 導致攻擊者可直接利用 http://hs.nnkieh.tn.edu.tw/modules/tad_book3/index.php?op=tad_book3_form&tbsn=分類編號&tbdsn=書籍編號 網址進行書籍的編修(如圖中的編輯器) 更改後可以發現原本的 新進人員須知 已改為 新進人員須知 2 (如圖佐證) 且含有 XSS 漏洞 在標題若輸入含有程式碼之內容(如圖) 將會被執行(如圖佐證) 受影響網址: http://hs.nnkieh.tn.edu.tw/modules/tad_book3/index.php (目前已改回來了,不需擔心) |
| 照片 |
處理狀況
| 負責單位 | 資訊室IT-國中部含IBST |
|---|---|
| 處理狀況 | 已修復 |
| 回覆內容 | tad老師已修復 |
| 回覆日期 | 2019-01-01 23:39:45 |
| 回覆者 | 管理員 |
| 照片 |