IThome这篇解释的蛮清楚的
http://www.ithome.com.tw/news/111107
以下截取重点
到底外泄的资料是什么?李维斌指出,目前台北市资讯局调查的结果,大约有190笔的薪
资报表的连结外泄,不过每笔报表的受影响人数并不确定,但可以确定的是,台北市府员
工的薪资数据库并没有外泄。
李维斌进一步解释,这些外泄的资料其实是由出纳人员制作的当月薪资报表,以往只有各
单位特定人员,有权连上这个放在DMZ区的薪资发放管理系统,输入帐号密码后,可以调
阅内网员工薪资资料做成当月薪资报表后,报表完成会就会产生一个报表连结,有这个报
表连结的人就可以下载该份薪资报告。
他也说,以往资讯局把有这个报表连结的人,视为是内部人士才可能有这个连结,所以,
以前是有连结的人,可以直接下载该档案,“这是一个内部系统存取权限设定错误的案例
,才会造成此次薪资报表连结外泄的资安事件。”他进一步解释,这是一种所谓的商业逻
辑错误(Business Logic Fault),是一种作业流程或程式逻辑出现的错误,目前用工具
的弱点扫描(Vulnerability Assessment )并无法检测出这类的漏洞,依赖人工的渗透
测试(Penetration Test)才比较有机会找到这类的弱点,但往往需要长时间、高频率的
检测,也高度仰赖渗透测试工程师的功力,难度相当高。
问题点主要就两个
1.薪资系统放DMZ区,开放外网连结
2.报表档有连结即可下载,没有像一般系统一定要登入检查权限