Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2020-00320
- 發信 Vendor: 唐綺陽官方專屬星盤
- Title: 唐綺陽官方專屬星盤 API 漏洞
- Introduction: 不需登入即可取得個人資料
處理狀態
目前狀態
公開
Last Update : 2020/08/11
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2020/06/11 05:25:21 : 新提交 (由 鄉民 更新此狀態)
- 2020/06/11 22:28:55 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2020/06/12 12:10:44 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2020/06/12 12:10:44 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2020/08/11 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2020-00320
- 通報者:鄉民
- 風險:高
- 類型:資訊洩漏 (Information Leakage)
參考資料
攻擊者可利用洩漏資訊進行下一步攻擊行為。
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://astroinfo-api.azurewebsites.net/Forestage/Member/Login
敘述
問題
該網站可以在不需要用戶密碼的情境下取得個人資料
說明
正常使用情境
流程 1 : 使用者登入
流程 2 : POST https://astroinfo-api.azurewebsites.net/Forestage/Member/Login 取得 token
流程 3 : 使用 token 呼叫 https://astroinfo-api.azurewebsites.net/Forestage/Member/MemberInfo 取得個人資訊
漏洞
流程 2的 API 中雖然使用 header 加入ApiKey, 但這把 key 卻是通用的流程 2的 API 使用方式是在 body 使用 json 帶入 email 取得該 email 專屬的 token
綜合以上兩個條件,就可以取得他人的 token 而不需要登入 (驗證帳密), 然後用 token 呼叫 流程 3 的 api 取得個人資訊
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。