---

title: “關於我挖Zeroday遇到的鳥事” description: "" pubDate: “2024-12-29 00:00:00 ” category: “info-sec” banner: “@images/posts/school-sec_banner.webp” tags: [“Info-sec”] oldViewCount: 8084 oldKeywords: [""]Link to heading

我現在應該不能公佈漏洞本身，但值得講的還是很多

我一直都有在挖 Zeroday (下稱 zd )或 CVE ，但這次挖到被某校資訊組找去問話還有叫家長…我蠻有意見的… ☺️

原由Link to heading

---

第一次通報Link to heading

我在HITCON ZeroDay通報了一個漏洞我被自己 InfoLeak ，有點懶開匿名，而且據我所知 HICON 不管有沒有開匿名，被通報者都可以知道通報者的 Email 當然只是聽說，畢竟我沒被通報過。

漏洞本身是，在某路徑下有幾乎從使用”自主學習”系統以來的全部的計劃簽名檔，有完整家長和學生的姓名和簽名，還有班級座號學號等，基本符合個資法對個資的定義”辨識是誰”。

我在 2024/10/9 號通報，而學校在 2024/11/18 號回覆已修補完成，然而我發現完全沒有修，至於爲什麼呢？資組長後來給我了很扯的回答，在後面會說。

第二次通報Link to heading

我發現漏洞沒修之後，馬上通報第二次，並附上我在第一次通報那時後用 Gobuster 掃描出來的其他人的檔案。

被約談Link to heading

---

事情發生在2024/12/11

當天第一節剛好是他的資訊課，我在上課過了差不多開始了15分鐘聽他跟全班講完今天要做什麼之後。
👨 ：x同學過來一下
👨 ：這個洞是你通報的吼，自主學習那個
我不想說謊，所以就說：是的
👨 ：來來來，你看，你以前辦社團的時候簽得切結書

:man: ：你自己看，"攻擊和測試brabrabra"
我就說：你看第一行的"在社團中學習到的技能"
:man: ：所以你是說這份切結書，對你無效？而且誰知道你是不是在社團學到的？
我是社團資安組社師，想當然的不會學到，我就說：我是社師我學到什麼？
:man: ：這樣是在強辯
我就說：強辯什麼？白紙黑字在這裡

他感覺已經到了極點，就帶我去找教官

我在路上說，你看誰傳通報給你的啊
你不用遵守學術網路使用規範嗎?

這裡我沒料到規範已經改過，但我們學校”這時”的網路使用規範是抄原本學術使用規範的

後來在教官那邊，我跟教官解釋一下原由後，他就安排我跟資組長講話。

在那邊吵太多東西了，我找幾個比較重要的部分。他說我的意思是那份切結書對我來說沒用，但我認爲這稍微有點在誘答，我說是”我的本意是規範有在社團學習到有關技能的人，且社團何必規範在外面學到的技能”。還有他說我用工具掃，???工具掃then?差別在哪裡，不知道是不是對法律有什麼誤解，更何況改個User-Agent 我不說是用工具誰會知道呢。。最重點的是他說，我有請你找洞嗎？我有請你測試嗎，==就是這樣臺灣的個資和網站才常常成爲破口

待續…