看起來已經改掉了
不知道還有沒有其他洞沒補.
感覺這些得標廠商都是拿高中生的作業來建這種系統的,洞應該不少
=======原文========
蓮縣警察局的新版交通違規檢舉網頁會不會太扯??
竟然用時間戳記當案件編號,然後網址列的query string只要輸入時間戳記,就能查詢檢舉案件,隨便寫一支爬蟲就能scan整個資料庫的資料了.
然後查出來的東西竟然包含身分證字號....
限花蓮縣警察局2020.01.13周一公家機關下班時間以前解決完畢,否則本座將依個資法向台東地檢署遞狀告發
=======1/12 更新=======
看起來已經改掉了
不知道還有沒有其他洞沒補.
感覺這些得標廠商都是拿高中生的作業來建這種系統的,洞應該不少
=======原文========
蓮縣警察局的新版交通違規檢舉網頁會不會太扯??
竟然用時間戳記當案件編號,然後網址列的query string只要輸入時間戳記,就能查詢檢舉案件,隨便寫一支爬蟲就能scan整個資料庫的資料了.
然後查出來的東西竟然包含身分證字號....
限花蓮縣警察局2020.01.13周一公家機關下班時間以前解決完畢,否則本座將依個資法向台東地檢署遞狀告發
看起來已經改掉了
不知道還有沒有其他洞沒補.
感覺這些得標廠商都是拿高中生的作業來建這種系統的,洞應該不少
=======原文========
蓮縣警察局的新版交通違規檢舉網頁會不會太扯??
竟然用時間戳記當案件編號,然後網址列的query string只要輸入時間戳記,就能查詢檢舉案件,隨便寫一支爬蟲就能scan整個資料庫的資料了.
然後查出來的東西竟然包含身分證字號....
限花蓮縣警察局2020.01.13周一公家機關下班時間以前解決完畢,否則本座將依個資法向台東地檢署遞狀告發
