手機王 CORS - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2020-00983
  •  發信 Vendor: 首機網路股份有限公司
  • Title: 手機王 CORS
  • Introduction: CORS

處理狀態

目前狀態

公開
Last Update : 2020/12/06
  • 新提交
  • 已審核
  • 已通報
  • 已修補
  • 已複測
  • 公開

處理歷程

  • 2020/11/28 22:28:59 : 新提交 (由 niench20 更新此狀態)
  • 2020/11/29 22:56:17 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/11/30 17:05:12 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/11/30 17:05:12 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/11/30 18:40:29 : 修補中 (由 組織帳號 更新此狀態)
  • 2020/12/01 12:31:00 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/12/01 12:31:00 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/12/01 12:31:00 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2020/12/01 18:16:12 : 複測申請中 (由 組織帳號 更新此狀態)
  • 2020/12/02 10:06:54 : 確認已修補 (由 niench20 更新此狀態)
  • 2020/12/06 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2020-00983
  • 通報者:niench20 (niench20)
  • 風險:低
  • 類型:其他 (Other)

參考資料

暫無資料
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.sogi.com.tw/user/profiles

敘述

請求header內加入origin: https://www.google.com進行檢測,發現response的Access-Control-Allow-Origin也會是www.google.com,且Access-Control-Allow-Credentials: true,等於存在CORS漏洞
圖片

假設本地端檢測放置釣魚網站,讓使用者在登入手機王狀況下訪問釣魚網站,那麼就可以得到該使用者相關資訊如:會員編號、紅利點數、手機號碼、信箱、住址、出生年月日、教育程度、月收入等訊息
圖片
圖片
圖片

可透過以下網頁內容進行重現(請用chrome以外瀏覽器開啟網頁):
圖片

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;