全家超商邏輯漏洞 - HITCON ZeroDay

Vulnerability Overview

ZDID: ZD-2020-00841
發信 Vendor: 全家超商
Title: 全家超商邏輯漏洞
Introduction: 忘記密碼的邏輯漏洞

處理狀態

目前狀態

公開

Last Update : 2020/11/26

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2020/09/26 23:03:44 : 新提交 (由 _(√ ζ ε:)_ 更新此狀態)
2020/09/26 23:17:17 : 新提交 (由 _(√ ζ ε:)_ 更新此狀態)
2020/09/27 22:35:40 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/09/28 17:19:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/09/28 17:19:58 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/09/28 17:19:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2020/11/26 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2020-00841
通報者：rex978956 (_(√ ζ ε:)_)
風險：低
類型：邏輯漏洞 (Logic Flaws)

參考資料

暫無資料

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

可以在 FamiClub 忘記密碼的地方輸入目標手機號碼

可能會有接下來兩種可能 (根據會員是否填寫生日有關)

需要輸入此人的生日日期 -> 直接修改密碼 -> 簡訊通知與修改密碼會寄到 email
不需要輸入此人的生日日期直接修改密碼 -> 將修改密碼寄給手機簡訊

密碼會被修改成 6 位數的密碼 -> 同時會被登出 -> 綁卡會被移除 (需重新綁卡)

因手機 app 密碼輸入必須是 8 ~ 16 字
所以被修改的密碼 (6 位數字) 會無法登入

造成使用者的登入時間差
可進行登入的暴力破解

修補建議

1. 使用忘記密碼後修改密碼應該將 6 位數字改變成 8~16 個字的隨機字串 (不只局限於數字)
=> 避免 app 使用者無法登入與被暴力破解的問題

2. 使用忘記密碼的功能應該要有其他簡單的資料驗證
=> 可能需要推播通知請全體使用者確實填寫基本資料
=> 因為有些使用者並沒有填寫除了姓名和手機以外的基本資料所以會出現 " 不需要輸入此人的生日日期而直接修改密碼 -> 將修改密碼寄給手機簡訊" 的操作