Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2025-01562
- 發信 Vendor: 趣放假股份有限公司
- Title: Funliday IDOR Leads to Arbitrary User Email Disclosure
- Introduction: API 洩露用戶 email
處理狀態
目前狀態
公開
Last Update : 2026/01/22
-
新提交
-
已審核
-
已通報
-
已修補
-
已複測
-
公開
處理歷程
- 2025/12/24 00:32:08 : 新提交 (由 CheN.. 更新此狀態)
- 2025/12/30 22:43:49 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/06 18:05:46 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/06 18:05:46 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/06 18:05:46 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/13 12:00:07 : 複測申請中 (由 組織帳號 更新此狀態)
- 2026/01/18 21:46:35 : 確認已修補 (由 CheN.. 更新此狀態)
- 2026/01/22 03:00:07 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2025-01562
- 通報者:SamChen_696 (CheN..)
- 風險:中
- 類型:存取控制缺陷 (Broken Access Control)
參考資料
攻擊者可經由該漏洞取得、修改、刪除系統中的其他使用者的資料,或連線至高權限使用者的頁面。
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
OWASP Top 10 - 2017 A5 - Broken Access Control
https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control
CWE-284: Improper Access Control
https://cwe.mitre.org/data/definitions/284.html
(本欄位資訊由系統根據漏洞類別自動產生,做為漏洞參考資料。)
相關網址
https://www.funlidays.com/api/personal/get_profile
敘述
概述
今天為了排行程註冊了這個網站來使用,發現 API 端點 /api/personal/get_profile 填入指定用戶 userid 回應及會揭露使用者電子郵件,在網站沒有發現任何功能或地方會揭露其他人的電子郵件,因此認為此屬非預期行為。userid 即為用戶使用者 ID @XXX 取得方式非常容易,透過追蹤數較多的部落客可以看到他的追蹤名單,從此可大量枚舉每位用戶的電子郵件。
重置步驟
-
瀏覽任意公開頁面(熱門使用者的粉絲列表 Follower List),取得目標受害者的 userid。
-
使用 Burp Suite 發送 POST 請求 https://www.funlidays.com/api/personal/get_profile,修改 Payload 將 userid 替換為步驟 1 取得的目標 ID。
-
觀察回應,查看回傳的資料 包含該用戶的 email 欄位且為明碼顯示。
PoC
影響
個人隱私外洩 (PII Disclosure):攻擊者可獲取任意用戶的私人電子郵件。
修補建議
後端落實物件層級授權 :後端 API 應針對「本人查詢」與「公開查詢」設計不同的 Response Model。
擷圖
留言討論
登入後留言
聯絡組織
發送私人訊息
您也可以透過私人訊息的方式與組織聯繫,討論有關於這個漏洞的相關資訊。