名超企業股份有限公司 網站多個敏感目錄及配置資訊嚴重洩漏 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-00716
  •  發信 Vendor: 名超企業股份有限公司
  • Title: 名超企業股份有限公司 網站多個敏感目錄及配置資訊嚴重洩漏
  • Introduction: 網站存在多個目錄索引開放及配置資訊洩漏,包含 phpinfo()、Apache 配置檔、上傳目錄等敏感資訊

處理狀態

目前狀態

公開
Last Update : 2025/09/15
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2025/07/16 20:19:51 : 新提交 (由 肉 更新此狀態)
  • 2025/07/20 01:34:07 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/07/22 16:18:39 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/07/22 16:18:39 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/07/22 16:18:39 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/09/15 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-00716
  • 通報者:kevin2758 ()
  • 風險:高
  • 類型:資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

http://www.maingchau.com.tw/test/
http://www.maingchau.com.tw/test/httpd.conf
http://www.maingchau.com.tw/uploads/
http://www.maingchau.com.tw/MCpersonnel/
http://www.maingchau.com.tw/Connections/
http://www.maingchau.com.tw/css/
http://www.maingchau.com.tw/lib/
http://www.maingchau.com.tw/source/

敘述

漏洞描述

網站存在資訊洩漏問題,多個敏感目錄開啟了目錄索引

發現的洩漏

1. Apache 主配置檔案

2. 開放的敏感目錄

等等

4. 其他發現

  • 目錄索引使用 Apache 預設樣式(洩漏伺服器版本)
  • 檔案修改時間完全暴露(2014-2017 年的舊檔案)

影響

  1. 完整系統架構暴露 - 攻擊者可了解系統結構
  2. 協助進階攻擊 - 提供足夠資訊進行針對性攻擊
  3. 資料外洩風險 - uploads 目錄包含公司檔案
  4. 內部系統暴露 - MCpersonnel 是內部多個系統

修補建議

1. 立即關閉所有目錄的 Directory Listing
- 在 httpd.conf 中設定:Options -Indexes
- 或在各目錄加入 .htaccess 檔案

2. 移除或限制訪問敏感目錄
- 刪除 /test/ 目錄或設定訪問限制
- 對 /uploads/ 設定適當權限

3. 實施訪問控制
- 設定 IP 白名單

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;