馬辣官網 會員系統 Reflected XSS - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-00620
  •  發信 Vendor: 馬辣國際餐飲集團
  • Title: 馬辣官網 會員系統 Reflected XSS
  • Introduction: 經典反射型 XSS

處理狀態

目前狀態

公開
Last Update : 2025/08/22
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2025/06/22 13:20:22 : 新提交 (由 Marco 更新此狀態)
  • 2025/06/22 13:21:54 : 新提交 (由 Marco 更新此狀態)
  • 2025/06/26 23:26:06 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/06/30 15:25:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/06/30 15:25:58 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/06/30 15:25:58 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/22 03:00:07 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-00620
  • 通報者:mlgzackfly (Marco)
  • 風險:低
  • 類型:反射型跨站腳本攻擊 (Reflected Cross-Site Scripting)

參考資料

攻擊者可經由該漏洞竊取使用者身份,或進行掛碼、轉址等攻擊行為。

漏洞說明: OWASP - Cross-site Scripting (XSS)
https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

防護原則: OWASP - XSS (Cross Site Scripting) Prevention Cheat Sheet
https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

防禦繞過方式: OWASP - XSS Filter Evasion Cheat Sheet
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://211.23.78.122/Member/Login

敘述

1. 發現潛在路徑

透過瀏覽器開發者工具觀察 JavaScript 程式碼,發現存在以下 API 呼叫路徑:

/Point/RedeemPoint/

當未登入狀態下直接存取該路徑時,會被系統導回登入頁面,並顯示以下訊息:

http://211.23.78.122/Member/Login?Title=系統訊息&Message=請先登入!

圖片

2. 測試 Payload 注入

將 URL 中的參數加以修改,注入 JavaScript 程式碼,如下所示:

http://211.23.78.122/Member/Login?Title=HITCONZERODAY&Message=<script>alert('HITCON ZeroDay')</script>

圖片

成功觸發 alert 視窗,證實系統存在 Reflected XSS 漏洞,攻擊者可藉此執行任意腳本,進一步進行釣魚、Session 劫持或偽造請求等攻擊。

圖片

修補建議

1. 參數過濾與編碼:對所有輸入進行適當的 HTML 編碼(如使用 `HttpUtility.HtmlEncode()` 或前端 `encodeURIComponent()`)。
2. 使用 CSP(Content Security Policy):降低攻擊腳本的執行機率。

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;