Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-00730
- 發信 Vendor: 臺北市勞動力服務人員職業工會
- Title: 臺北市勞動力服務人員職業工會 API 網站 Laravel 專案配置錯誤導致敏感資料完全暴露
- Introduction: API 網站因 Web 伺服器配置錯誤,導致整個 Laravel 專案目錄對外公開,包含密碼、金鑰等極度敏感資訊暴露
處理狀態
目前狀態
公開
Last Update : 2025/09/15
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2025/07/16 22:20:03 : 新提交 (由 肉 更新此狀態)
- 2025/07/20 01:39:27 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/08/01 12:39:15 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/08/01 12:39:15 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/08/01 12:39:15 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/09/15 03:00:25 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-00730
- 通報者:kevin2758 (肉)
- 風險:高
- 類型:資訊洩漏 (Information Leakage)
參考資料
攻擊者可利用洩漏資訊進行下一步攻擊行為。
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://api.tlfsu.org.tw/tlfsuapi/
https://api.tlfsu.org.tw/tlfsuapi/.env
https://api.tlfsu.org.tw/tlfsuapi/storage/logs/laravel.log
https://api.tlfsu.org.tw/tlfsuapi/database/migrations/
https://api.tlfsu.org.tw/tlfsuapi/.env
https://api.tlfsu.org.tw/tlfsuapi/storage/logs/laravel.log
https://api.tlfsu.org.tw/tlfsuapi/database/migrations/
敘述
漏洞描述
發現 api.tlfsu.org.tw 網站因 Apache 配置錯誤,將整個 Laravel 專案根目錄設為 DocumentRoot,
而非正確的 /public 目錄。導致所有原始碼、配置檔案、日誌等敏感資訊完全對外暴露。
發現細節
1. 環境配置檔案 (.env) 完全暴露
URL: https://api.tlfsu.org.tw/tlfsuapi/.env
洩露的關鍵資訊:
- 資料庫帳號密碼
- DB_USERNAME、DB_PASSWORD、DB_DATABASE
- Laravel 加密金鑰
- APP_KEY
2. 目錄索引完全開放
URL: https://api.tlfsu.org.tw/tlfsuapi/
可瀏覽所有專案目錄:
- /config/ - 配置檔案
- /database/ - 資料庫結構
- /storage/ - 日誌和上傳檔案
3. 資料庫 Migration 檔案暴露
URL: https://api.tlfsu.org.tw/tlfsuapi/database/migrations/
發現敏感資料表結構:
- salaries_table
- joins_table / quits_table
- scholarships_table
- aidmoneys_table
- (nameagree, phoneagree)
4. 日誌檔案可下載
URL: https://api.tlfsu.org.tw/tlfsuapi/storage/logs/laravel.log
影響評估
立即風險
- 資料庫完全暴露風險
- 擁有 root 權限的資料庫密碼
- 包含薪資、個資等敏感資料
修補建議
立即措施
- 修正 Web 伺服器配置,將 DocumentRoot 改為 /public
- 刪除或移動所有不應公開的檔案
- 更改所有資料庫密碼
- 更新 APP_KEY 並重新加密所有資料
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。