跑者留言版 : 您是否有用過路協線上報名系統??其會員密碼查詢機制是否存在漏洞??

跑者留言版 : 您是否有用過路協線上報名系統??其會員密碼查詢機制是否存在漏洞?? http://www.taipeimarathon.org.tw/forum/ 這是 XML 內容的; 跑者留言版 : 天南地北留言版 : 您是否有用過路協線上報名系統??其會員密碼查詢機制是否存在漏洞?? Copyright (c) 2006-2009 Web Wiz Forums - All Rights Reserved. Mon, 11 May 2026 10:16:11 +0000 Tue, 19 Oct 2010 15:40:47 +0000 http://blogs.law.harvard.edu/tech/rss Web Wiz Forums 9.73 360 www.taipeimarathon.org.tw/forum/RSS_post_feed.asp?TID=8228 跑者留言版 http://www.taipeimarathon.org.tw/forum/forum_images/logo.png http://www.taipeimarathon.org.tw/forum/ 您是否有用過路協線上報名系統??其會員密碼查詢機制是否存在漏洞?? : 可是目前報名路協是最方便,可以用信用卡或便利商店繳費 http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125644#125644 作者: 桔子
Subject: 8228
發表於： 2010-10-19 at 3:40pm

可是目前報名路協是最方便,可以用信用卡或便利商店繳費]]> Tue, 19 Oct 2010 15:40:47 +0000 http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125644#125644 您是否有用過路協線上報名系統??其會員密碼查詢機制是否存在漏洞?? : 小弟也用過路協的網路團體報名. 個人是認同鱔魚兄說的,路協現在的團體報名作法確實有資料外漏的問題存在.... http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125641#125641 作者: chaojunchang
Subject: 8228
發表於： 2010-10-19 at 3:26pm

小弟也用過路協的網路團體報名.

個人是認同鱔魚兄說的,路協現在的團體報名作法確實有資料外漏的問題存在.

]]> Tue, 19 Oct 2010 15:26:02 +0000 http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125641#125641 您是否有用過路協線上報名系統??其會員密碼查詢機制是否存在漏洞?? : 台灣比賽報名似乎不流行用信用卡? http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125492#125492 作者: ultrailrunner
Subject: 8228
發表於： 2010-10-19 at 2:30am

台灣比賽報名似乎不流行用信用卡?]]> Tue, 19 Oct 2010 02:30:35 +0000 http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125492#125492 您是否有用過路協線上報名系統??其會員密碼查詢機制是否存在漏洞?? : 自己常幫會友負責報名路協比賽,對於路協網路報名系統比較有意見... http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125488#125488 作者: 高清海
Subject: 8228
發表於： 2010-10-19 at 1:07am

自己常幫會友負責報名路協比賽,對於路協網路報名系統比較有意見的話,就是如果之前有報名參加比賽就會有資料存底,下一次比賽如果團報已完成報名繳費,若還有會友個人想要加入報名就只能使用個人報名系統,存底資料就又會多一筆一模一樣的資料,下一次比賽就還要刪掉一個名字,保留一個名字真的很煩,,,,,,,

對於網路報名還是比使用郵寄掛號喜歡,,畢竟方便（不用排隊省時間）省錢（省掛號信件費用）環保（省紙張書寫）,個人想網路報名還是有參與舉辦比賽的民間社團必須走的一條路,,,

]]> Tue, 19 Oct 2010 01:07:51 +0000 http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125488#125488 您是否有用過路協線上報名系統??其會員密碼查詢機制是否存在漏洞?? : 最近接手團報工作，才有機會使用到中華民國路跑協會的線上報名系... http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125474#125474 作者: 鱔魚
Subject: 8228
發表於： 2010-10-18 at 5:56pm

最近接手團報工作，才有機會使用到中華民國路跑協會的線上報名系統，因為工作關係很多工作或交易都是在線上完成。而我團體以前的報名機制也是使用很傳統方法，即會員電話報名後義工再一筆一筆在己影印好有表格的白紙上填寫姓名、身份證字號、性別、出生年月日、組別、衣服尺寸、、等等必需要的欄位。再來就到郵局抽號碼牌買匯票、排隊掛號寄出。當我接手後初期也是照以前方式做，但覺得很費時間，況且有些欄位(尤其是身份證號)會輸入錯誤，總覺得不符合經濟效益，除了開發一套符合我們團體的報名系統外，祇要主辦單位可以使用線上報名或線上繳費的話，我一定會在電腦桌前完成。而沒有提供線上報名的話，祇要在我們關門時間隔天列表機把報名者資料列印後加蓋官防章連同報名費寄出即可。

日前在使用路協古都馬、四季馬‧‧等等線上報名系統時，發現路協報名系統密碼查詢機制有一個小小漏洞，應該是說缺失。例如：黑皮慢跑俱樂部的陳先生負責該會的團報工作，他去年或前年使用路協線上報名系統為黑皮慢跑俱樂部報了五十位會員，這五十位會員的身份證字號、年齡、姓名、衣服尺寸都會留在路協資料庫內，當有新的競賽開放報名後，黑皮慢跑俱樂部陳先生祇要登入系統後，這五十位會員資料會出現在網頁上面，祇要把不想報名的會員刪除後再處理剩下報名者的一些資料項目按送出鍵即可完成線上團報。雖然很方便但有資料外漏問題存在。

今天要討論的是會員專區有提供一個密碼查詢(http://www.sportsnet.org.tw/passwd_query.php)，這個密碼查詢做得太簡單太沒安全性了，因為祇要知道黑皮慢跑俱樂部陳先生的身份證字號、姓名、出生年月日即可在線上看到密碼，在線上報名點選活動名稱後，進入點選團體報名後，即可看到陳先生以前為他們五十位會員報名的資料全都露。

現在回想後發覺大腳或阿達或其他社團還在採用郵寄掛號、現金袋、匯票方式報名的單位，感覺他們較注重個人穩私，或者他們早知道線上報名系統不安全呢？以上是個人看法也不知道是否對或誤！

]]> Mon, 18 Oct 2010 17:56:06 +0000 http://www.taipeimarathon.org.tw/forum/forum_posts.asp?TID=8228&PID=125474#125474