【漏洞預警】部份單位 學生出入校園管理系統 存在 資料庫注入攻擊 漏洞，請盡速確認並進行修補作業

【漏洞預警】部份單位學生出入校園管理系統存在資料庫注入攻擊漏洞，請盡速確認並進行修補作業

教育機構ANA通報平台

發佈編號		發佈時間
事故類型	ANA-漏洞預警	發現時間	2019-03-06 10:15:59
影響等級	中
[主旨說明:]【漏洞預警】部份單位學生出入校園管理系統存在資料庫注入攻擊漏洞，請盡速確認並進行修補作業
[內容說明:] 接獲台灣電腦網路危機處理暨協調中心通知。於2019/2/28接獲外部通報，發現部份單位使用學生出入校園管理系統存在資料庫注入攻擊（SQL Injection）漏洞，可經由該漏洞取得後端資料庫權限及完整資料（包含大量使用者個資或敏感性資料），同時也有機會對資料進行破壞或修改，煩請各單位盡速確認並進行修補作業。 Google 搜尋學生出入校園管理系統 PayLoad: URL: /director/information_school_List.php
[影響平台:] 學生出入校園管理系統
[建議措施:] 修補該程式漏洞，對輸入欄位進行惡意字元過濾作業
[參考資料:] https://cert.tanet.edu.tw/images/20190306.jpg

(此通報僅在於告知相關資訊，並非為資安事件)，如果您對此通報的內容有疑問或有關於此事件的建議，歡迎與我們連絡。

教育機構資安通報應變小組
網址：https://info.cert.tanet.edu.tw/
專線電話：07-5250211
網路電話：98400000
E-Mail：Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它.tw