使用eating.me點餐系統的數個餐廳驗證失效可直接存取後台 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-00955
  •  發信 Vendor: eatings.me
  • Title: 使用eating.me點餐系統的數個餐廳驗證失效可直接存取後台
  • Introduction: 驗證失校導致後台直接存取

處理狀態

目前狀態

公開
Last Update : 2025/10/11
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2025/08/11 22:59:21 : 新提交 (由 Cappuccinoo 更新此狀態)
  • 2025/08/12 02:57:26 : 新提交 (由 Cappuccinoo 更新此狀態)
  • 2025/08/12 03:09:02 : 新提交 (由 Cappuccinoo 更新此狀態)
  • 2025/08/14 21:25:50 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/26 15:44:52 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/26 15:44:52 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/08/26 15:44:52 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/10/11 03:00:11 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-00955
  • 通報者:Casperchen0523 (Cappuccinoo)
  • 風險:嚴重
  • 類型:存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://eatings.me/smart/hp001/admin/manage_store.html
https://eatings.me/Hunchang/PrincekenZhubei/admin/manage_store.html?timestamp=1754936825363
https://eatings.me/GoodGoodUse/senshan/admin/manage_store.html?timestamp=1754839126409
https://eatings.me/GoodGoodUse/Miller/admin/manage_store.html?timestamp=1754839126409
https://eatings.me/TainanPos/HanXiang/admin/manage_store.html?timestamp=1754839126409
https://eatings.me/weimarked/Kamehouse/admin/manage_store.html?timestamp=1754839126409
https://eatings.me/watt/BoboChicken/admin/manage_store.html?timestamp=1754839126409
https://eatings.me/watt/Jinshan/admin/manage_store.html?timestamp=1754839126409
https://eatings.me/watt/JinXian/admin/manage_store.html?timestamp=1754839126409
https://eatings.me/TainanPos/MrMei/admin/manage_store.html?timestamp=1754839126409
https://eatings.me/GoodGoodUse/YunnanStown/admin/manage_store.html?timestamp=1754839126409

敘述

1.點餐網址從https://eatings.me/smart/hp001/?tno=Gh3fSso6iWs%3D改成https://eatings.me/smart/hp001/admin後,登入介面直接預設帳號密碼,可直接存取後台,攻擊者可直接修改餐點資料,點餐QR-code,Line機器人token等後台參數,進一步得知直接訪問https://eatings.me/smart/hp001/admin/order_list.htm發現他請求API時未經驗證也可以登入後台
圖片
圖片
圖片
圖片

2.另外案例 : https://eatings.me/GoodGoodUse/senshan/admin/manage_store.html?timestamp=1754839126409

在後臺進行操作時會訪問https://eatings.me/XXXXXX/XXXX/api/public/index.php/api/v1/admins/getParameter拿取餐廳資訊與參數並驗證token 如果錯誤會直接跳回登入頁面

登入頁面在登入時,網頁會對api進行訪問時的路徑為https://eatings.me/GoodGoodUse/senshan/api/public/index.php/api/v1/admins/login,直接用網頁直接存取會進入到一個類似debug頁面,其中包含了DB的帳號密碼位置以及api key 與JWT secret,有嚴重的information leak

圖片

接下來可以利用1.點因為驗證失效的問題因次登入時可以獲得到的token,而這個token 是JWT

圖片

因此可以利用此token以及在debug頁面中獲得到的JWT secret(全網站的JWT secret皆一致)偽造一個是來自其後端給的token,去訪問api成功拿到餐廳資料與參數(eatings.me/XXXXXX/XXXX/api/public/index.php/api/v1/admins/getParameter),並成功登入後台
圖片
圖片
圖片
圖片

修補建議

1.加上API驗證邏輯,並關閉debug頁面或設定權限
2.每個網站的JWT secret 不能一樣

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;