Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-01062
- 發信 Vendor: 台南市保險服務職業工會
- Title: 台南市保險服務職業工會 網站環境配置檔案外洩漏洞
- Introduction: 網站的配置檔案可被外部直接存取,導致敏感配置資訊外洩
處理狀態
目前狀態
公開
Last Update : 2025/10/26
-
新提交
-
已審核
-
已通報
-
未回報修補狀況
-
未複測
-
公開
處理歷程
- 2025/08/26 00:24:53 : 新提交 (由 肉 更新此狀態)
- 2025/08/29 14:26:06 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/09/02 11:29:33 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/09/02 11:29:33 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/09/02 11:29:33 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2025/10/26 03:00:02 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-01062
- 通報者:kevin2758 (肉)
- 風險:中
- 類型:資訊洩漏 (Information Leakage)
參考資料
攻擊者可利用洩漏資訊進行下一步攻擊行為。
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure
CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://tainan.sales168.tw/.env
敘述
網站的框架 .env 環境配置檔案可被外部直接存取,暴露了以下敏感資訊:
- 應用程式加密金鑰 (APP_KEY)
- 資料庫連線資訊
- 應用程式環境設定
- 郵件服務設定
重現步驟
- 直接存取 https://tainan.sales168.tw/.env 即可查看完整配置檔案
影響
- APP_KEY 外洩可能被用於解密敏感資料
- 暴露系統架構資訊,增加被攻擊風險
- 顯示網站可能存在其他配置安全問題
修補建議
1. 立即設定 Web 伺服器阻擋 .env 文件存取
2. 將 .env 文件移至 web root 目錄之外
3. 檢查是否有其他敏感檔案暴露(如 .git、.env.backup 等)
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。