侯家滷味 存儲型 XSS 漏洞 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2024-01484
  •  發信 Vendor: 侯家滷味
  • Title: 侯家滷味 存儲型 XSS 漏洞
  • Introduction: 攻擊者可將惡意腳本注入到系統中並存儲在伺服器上,當管理員或其他使用者瀏覽該內容時,腳本會自動執行,從而導致敏感資訊洩漏或執行其他惡意操作。

處理狀態

目前狀態

公開
Last Update : 2025/01/09
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2024/11/09 03:45:55 : 新提交 (由 shaber_1337 更新此狀態)
  • 2024/11/11 01:09:20 : 新提交 (由 shaber_1337 更新此狀態)
  • 2024/11/11 01:10:15 : 新提交 (由 shaber_1337 更新此狀態)
  • 2024/11/11 01:10:49 : 新提交 (由 shaber_1337 更新此狀態)
  • 2024/11/11 16:39:08 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/11/26 14:19:39 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2024/11/26 14:19:39 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/01/09 03:00:08 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2024-01484
  • 通報者:qq9693210000 (shaber_1337)
  • 風險:嚴重
  • 類型:預存式跨站腳本攻擊 (Stored Cross-Site Scripting)

參考資料

攻擊者可經由該漏洞竊取使用者身份,或進行掛碼、轉址等攻擊行為。

漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

防護原則:
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

XSS 防禦繞過方式:
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.housduck.com.tw/order.php

敘述

漏洞描述

在客戶下訂單的頁面中,缺乏對輸入內容的有效過濾,允許攻擊者注入惡意的 JavaScript 程式碼。當管理員在 CMS 後台查看此訂單資訊時,JavaScript 會在管理員的瀏覽器中執行,從而觸發跨站腳本攻擊 (XSS)。這可能導致敏感資訊洩漏或進一步的攻擊行為。


重現漏洞方式

  1. 開啟網站的客戶訂單頁面。
  2. 在「聯絡資訊」的輸入框中,輸入一段含有 JavaScript 的惡意代碼。
  3. 提交表單。
  4. 當管理員在 CMS 後台查看訂單列表或訂單詳情時,該 JavaScript 會自動執行,觸發惡意操作。

影響

  1. 資料洩漏:攻擊者可以藉由 XSS 攻擊獲取管理員的 Cookie 或其他敏感資訊。
  2. 系統控制權限風險:若攻擊者能夠持續獲得管理員的登入 Cookie,則可能取得管理後台的控制權限,無論帳號密碼再怎麼改都是如此。
  3. 潛在後續攻擊:取得的資訊可能被用於針對客戶或公司的釣魚攻擊。

螢幕截圖說明

  1. 注入惡意腳本的表單頁面:在表單中注入。
    圖片

  2. CMS 後台的 XSS 攻擊效果:管理員在後台查看訂單資訊時,被 XSS 攻擊觸發並顯示 Cookie 的效果。
    圖片


建議:應在客戶輸入內容中實施輸入過濾與編碼處理,以防止惡意腳本注入,並對管理後台的輸出內容進行嚴格的 XSS 防護。

修補建議

應在客戶輸入內容中實施輸入過濾與編碼處理,以防止惡意腳本注入,並對管理後台的輸出內容進行嚴格的 XSS 防護。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;