酵素洗衣後台管理登入功能存在資料庫隱碼注人(SQLi)漏洞

Vulnerability Overview

ZDID: ZD-2025-00618
發信 Vendor: 酵素洗衣工廠（Tel：02 - 8666-5149）
Title: 酵素洗衣後台管理登入功能存在資料庫隱碼注人(SQLi)漏洞
Introduction: 後台管理的登入功能存在SQLi

處理狀態

目前狀態

公開

Last Update : 2025/08/22

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2025/06/22 09:15:02 : 新提交 (由阿美更新此狀態)
2025/06/26 23:25:02 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/06/30 15:22:28 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/06/30 15:22:28 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/06/30 15:22:28 : 修補中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2025/08/22 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2025-00618
通報者：gmwa (阿美)
風險：高
類型：資料庫注入攻擊 (SQL Injection)

參考資料

攻擊者可利用該漏洞取得後端資料庫權限及完整資料（包含大量使用者個資或敏感性資料），同時也有機會對資料進行破壞或修改。

漏洞說明： OWASP - SQL Injection
https://www.owasp.org/index.php/SQL_Injection

漏洞說明： OWASP - Top 10 - 2017 A1 - Injection
https://www.owasp.org/index.php/Top_10-2017_A1-Injection

漏洞說明： CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
https://cwe.mitre.org/data/definitions/89.html

防護方式： OWASP - SQL Injection Prevention Cheat Sheet
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

1.在帳號欄輸入「' or 9>1 --」或密碼欄輸入「' or 1='1」，即可進入後台，如圖1所示。
2.雖然登入畫面另外要求「驗證碼」，但此「驗證碼」可被繞過。隨意輸入帳號及密碼，但輸入正確的「驗證碼」（如圖2），此時回應 302，Location=loginfail.php，如圖3。
3.利用Firefox的「編輯並重新傳送」功能，在 USERNAME 欄和PASSWORD欄的參數後面加上「 or 9>'1」（如圖4），因缺少一個「'」導致SQL語句錯誤，系統回應500（如圖5），表示系統沒有正確過濾特殊符號。
4.修正 USERNAME 欄和PASSWORD欄的參數，正確補上「'」（如圖6），帳密驗證成功，系統回應300，location=manager.php（如圖7）。
5.此時，只要將 https://www.washwell.com.tw/manager.php 貼上Firefox的網址列，就能開啟後台管理(即圖1)。
因此得證，可繞過「驗證碼」並執行SQLi。

修補建議

一、永遠不要直接拼接 SQL 字串，改用Prepared Statements / Parameterized Queries
二、用白名單驗證（Whitelist Validation）檢查使用者提交的資料之合法性、有效性。
三、限制資料庫權限（最小權限原則）
四、或使用 ORM 或框架自帶的查詢建構器，如Laravel Eloquent