Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2024-01014
- 發信 Vendor: 路易莎咖啡
- Title: 路易莎 會員資料洩漏
- Introduction: 洩漏點餐會員姓名及手機號碼
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2024/08/29 15:10:55 : 新提交 (由 Marco 更新此狀態)
- 2024/08/31 19:55:08 : 新提交 (由 Marco 更新此狀態)
- 2024/09/02 16:52:36 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/09/10 22:21:34 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/09/10 22:21:34 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/09/10 22:21:34 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2024/10/29 03:00:16 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2024-01014
- 通報者:mlgzackfly (Marco)
- 風險:低
- 類型:資訊洩漏 (Information Leakage)
參考資料
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
相關網址
敘述
從 https://meowror.eilis-ai.app/louisa/ONL171136269195222?shopNo=L0218 的網路流量可得知,有 WebSocket
在 WebSocket 接收即時會員資訊,可以看到哪位會員點餐
wss://eilis-middleware.herokuapp.com/socket.io/?EIO=4&transport=websocket&sid=1LTREcAxswzs97LzAEEQ
[
"newQueueState",
{
"brand":"louisa",
"orderId":"", // 訂單編號
"shopNo":"", // 商店編號
"phone":"", // 電話/手機號碼
"name":"", // 會員姓名 或 Guest
"status":"processing", // 訂單進度
"time":1724914547485
}
]
修補建議
針對在 WebSocket 即時更新過程中可能洩露的敏感資訊,我們建議採取以下措施來修補漏洞並加強系統安全性。
## 1. 數據最小化
- **問題**: 當前傳輸的封包含不必要的敏感資訊,如電話號碼和會員姓名。
- **建議**: 僅傳輸必要的數據。例如,應只傳輸 `status` 等與 UI 顯示相關的資訊,避免傳輸 `phone` 和 `name` 等敏感數據。
## 2. 敏感資訊加密
- **問題**: 敏感數據在未加密的情況下通過 WebSocket 傳輸,存在被攔截的風險。
- **建議**: 使用端到端加密技術對敏感數據進行加密。在後端處理完成後再解密,確保敏感資訊不會被未經授權的第三方訪問。
## 3. 強化身份驗證與授權
- **問題**: 無適當的身份驗證與授權機制,可能導致未經授權的訪問。
- **建議**: 引入基於角色的訪問控制(RBAC),並確保只有經授權的用戶和系統可以訪問敏感資訊。
## 4. 敏感資訊屏蔽
- **問題**: 用戶端可能會收到超出其權限範圍的敏感資訊。
- **建議**: 從後端傳輸數據時,屏蔽或刪除敏感資訊。若需顯示資訊給用戶,僅提供與該用戶相關的必要資訊。
## 5. 安全日誌審計
- **問題**: 缺乏對 WebSocket 通信的審計,難以追蹤潛在的未授權訪問。
- **建議**: 實施安全日誌記錄,追蹤所有 WebSocket 通信的請求與操作,定期審計日誌以發現異常行為。
## 6. 定期安全測試
- **問題**: 缺乏對 WebSocket 連線的安全測試,導致潛在漏洞未被及時發現。
- **建議**: 定期進行滲透測試和安全評估,特別是針對 WebSocket 連線,確保即時更新機制的安全性。