出去走走股份有限公司-露營樂網站 忘記密碼功能導致帳號被接管並竊取退款 - HITCON ZeroDay

Vulnerability Detail Report

Vulnerability Overview

  • ZDID: ZD-2025-01316
  •  發信 Vendor: 出去走走股份有限公司
  • Title: 出去走走股份有限公司-露營樂網站 忘記密碼功能導致帳號被接管並竊取退款
  • Introduction: 該網站的忘記密碼功能可直接導致任意客戶帳號被接管並進一步的盜取訂單退款

處理狀態

目前狀態

公開
Last Update : 2025/12/02
  • 新提交
  • 已審核
  • 已通報
  • 未回報修補狀況
  • 未複測
  • 公開

處理歷程

  • 2025/10/02 16:11:02 : 新提交 (由 OffroadMouse 更新此狀態)
  • 2025/10/03 08:19:46 : 新提交 (由 OffroadMouse 更新此狀態)
  • 2025/10/03 08:23:44 : 新提交 (由 OffroadMouse 更新此狀態)
  • 2025/10/03 16:57:43 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/10/17 13:35:20 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/10/17 13:35:20 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/10/17 13:35:20 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
  • 2025/12/02 03:00:06 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

  • ZDID:ZD-2025-01316
  • 通報者:OffroadMouse (OffroadMouse)
  • 風險:嚴重
  • 類型:存取控制缺陷 (Broken Access Control)

參考資料

攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。

OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control

CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)

相關網址

https://www.easycamp.com.tw/member/forget_pwd

敘述

該網站忘記密碼流程發送的驗證碼為 5 位數、可暴力破解、無輸入次數限制、無過期機制;且驗證成功後會直接登入該帳號(不需重設密碼),使用過的驗證碼亦不會失效,能再次使用登入。
且可透過獲取到的驗證碼來竊取訂單退款

網址

重現步驟

在上面網址中輸入已註冊過的電話號碼後,會寄發驗證碼至該手機,接著會自動跳轉至輸入驗證碼的網址
可承接此漏洞來找尋已註冊過的電話號碼:ZD-2025-01313
圖片
驗證碼網址
圖片
手機上收到的驗證碼的格式都是 5 個數字的沒有英文,因此很好進行暴力破解
圖片
使用 burpsuite 工具捕捉輸入驗證碼的請求,並使用 Inturder 對該驗證碼進行暴力破解
測試後發現該驗證碼無輸入次數限制,且驗證碼不會過期,只要暴力破解夠久,都可以找到驗證碼
圖片
length較長的即為正確驗證碼
圖片
且得到驗證碼後,直接輸入驗證碼可直接登入到該帳號,無須其他的驗證方式
圖片
(此時已為登入狀態,可對帳號進行任何操作)
圖片
經測試後發現,該驗證碼不只不會過期,驗證碼使用後也不會失效
且該輸入驗證碼的網址為固定格式且可重複存取。

(09開頭的部分為電話號碼,自行更換為用戶電話)
輸入驗證碼網址:https://www.easycamp.com.tw/member/forget_pwd_open/09XXXXXXXX/1

因該驗證碼使用後不會失效,故可直接訪問上述網址,無須密碼也能無限制的再次登入該帳號

不要再按一次忘記密碼,直接使用輸入驗證碼的網址進行登入,否則會產生新的驗證碼,舊的驗證碼將無法使用,需再次暴力破解
同時只能存在一個驗證碼,但該驗證碼不會過期、使用後不會失效,可直接透過驗證碼登入客戶帳號

進一步竊取退款

登入客戶帳號後,可點擊上方 "訂單取消/退款" 查看該客戶有哪些訂單
圖片
再點擊尚未到期的訂單,點擊 "申請修改訂單"
圖片
在注意事項最後一行中可以看到描述:"如以ATM或ibon付訂,申請退款請一併提供「訂購人」【銀行或郵局、帳號、戶名】資料"
若該客戶使用上述方法付款的話,惡意第三方可直接申請退款並將退款金額轉入指定的戶頭中,藉此來竊取退款
圖片

影響

  1. 帳號接管
    可配合ZD-2025-01313 漏洞,可以入侵所有找到的已註冊的帳號
  2. 訂單與退款詐欺
    攻擊者登入後可申請退款並匯入指定惡意帳戶
  3. 個資外洩
    攻擊者可存取使用者姓名、電話、電子郵件、地址、訂單明細、付款方式等敏感資料
  4. 商譽影響
    若此漏洞被利用造成帳號接管、訂單取消或退款詐欺,將導致用戶信任流失

修補建議

1. 驗證碼長度需提高或加入英文,並限制嘗試次數與速率限制,提高暴力破解成本
2. 驗證碼需設置過期時間以及使用後立刻銷毀機制
3. 禁止驗證碼直接授權登入,通過驗證碼後需使用特定連結(無法被猜測的連結)來讓客戶重製密碼,而非直接登入
4. 輸入驗證碼的網頁不應為固定且可預測的 URL
5. 可在輸入驗證碼時同時要求輸入CAPTCHA 的驗證碼

擷圖

留言討論

聯絡組織

 發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。
;