IThome這篇解釋的蠻清楚的
http://www.ithome.com.tw/news/111107
以下截取重點
到底外洩的資料是什麼?李維斌指出,目前臺北市資訊局調查的結果,大約有190筆的薪
資報表的連結外洩,不過每筆報表的受影響人數並不確定,但可以確定的是,臺北市府員
工的薪資資料庫並沒有外洩。
李維斌進一步解釋,這些外洩的資料其實是由出納人員製作的當月薪資報表,以往只有各
單位特定人員,有權連上這個放在DMZ區的薪資發放管理系統,輸入帳號密碼後,可以調
閱內網員工薪資資料做成當月薪資報表後,報表完成會就會產生一個報表連結,有這個報
表連結的人就可以下載該份薪資報告。
他也說,以往資訊局把有這個報表連結的人,視為是內部人士才可能有這個連結,所以,
以前是有連結的人,可以直接下載該檔案,「這是一個內部系統存取權限設定錯誤的案例
,才會造成此次薪資報表連結外洩的資安事件。」他進一步解釋,這是一種所謂的商業邏
輯錯誤(Business Logic Fault),是一種作業流程或程式邏輯出現的錯誤,目前用工具
的弱點掃描(Vulnerability Assessment )並無法檢測出這類的漏洞,依賴人工的滲透
測試(Penetration Test)才比較有機會找到這類的弱點,但往往需要長時間、高頻率的
檢測,也高度仰賴滲透測試工程師的功力,難度相當高。
問題點主要就兩個
1.薪資系統放DMZ區,開放外網連結
2.報表檔有連結即可下載,沒有像一般系統一定要登入檢查權限