Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00110
- 發信 Vendor: 綠界科技股份有限公司
- Title: 綠界科技股份有限公司 HTTP请求走私漏洞
- Introduction: HTTP請求走私漏洞引發後續可利用的攻擊鏈
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2026/01/23 17:43:32 : 新提交 (由 Tony Lee 更新此狀態)
- 2026/01/24 18:31:07 : 新提交 (由 Tony Lee 更新此狀態)
- 2026/01/25 15:39:47 : 新提交 (由 Tony Lee 更新此狀態)
- 2026/01/26 17:59:05 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/01/27 13:01:03 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/25 14:00:05 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/03/25 17:02:32 : 審核中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/20 10:18:52 : 複測申請中 (由 組織帳號 更新此狀態)
- 2026/05/08 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2026-00110
- 通報者:Tony_Lee (Tony Lee)
- 風險:高
- 類型:未驗證的 URL 轉址 (Unvalidated Redirects and Forwards)
參考資料
OWASP Top 10 2010 - A10 - Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Top_10_2010-A10-Unvalidated_Redirects_and_Forwards
Unvalidated Redirects and Forwards Cheat Sheet
https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
CWE-601: URL Redirection to Untrusted Site ('Open Redirect')
http://cwe.mitre.org/data/definitions/601.html
相關網址
(其他測試範圍內的子網域也可利用此漏洞)
敘述
漏洞名稱: 跨子網域 HTTP Request Smuggling (CL.TE) 導致連線劫持
CVSS評分: 8.3 (High/Critical)-CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L
漏洞說明: 經測試發現,貴司位於 Akamai CDN 後方之多個子網域(如 app.ecpay.com.tw 與 ectvendor.ecpay.com.tw) 存在 HTTP 請求走私漏洞。由於前端 Akamai 與後端 IIS/ASP.NET 伺服器對於請求邊界(Content-Length 與 Transfer-Encoding)的處理邏輯不一致,攻擊者可藉此將惡意請求片段注入後端連線池(Connection Pooling)。
本測試成功實現了從單純的服務干擾到內部路徑劫持到跨子網域劫持的遞進式攻擊:
1.請求污染 (DoS):透過注入非法字元使下一個使用者請求失敗(400 Bad Request)。
2.路徑劫持 (Path Hijacking):強制使用者存取非預期的內部路徑(如 /Areas)。
3.跨子網域劫持 (Cross-Subdomain Hijacking):最嚴重的發現在於,攻擊者能跨越不同的子網域進行連線劫持(不只限於同個子網域中的目錄路徑)。如透過 ectvendor 站台成功獲取 signalr.ecpay.com.tw 的響應內容、或www.ecpay.com.tw主網域也可成功走私signalr.ecpay.com.tw得到該響應內容(僅測試其中幾個,但應該所有子網域都能進行相同的請求走私,因此形成了跨子網域的重定向劫持)。
進階威脅推導: 由於貴司漏洞計畫有明確的測試子網域範圍,若黑客針對所有資產進行詳細深入的偵查可能可找到疏於管理的子域名,此漏洞結合「子網域接管(Subdomain Takeover)」攻擊,攻擊者可將全站使用者的連線劫持至受控的惡意子網域(尤其www.ecpay.com.tw擁有較大流量)。由於攻擊發生在 *.ecpay.com.tw 同根網域下,這將徹底繞過瀏覽器的同源政策(SOP),使攻擊者能大規模竊取Session Cookie,甚至與金流相關等高風險操作。
探測網址(Target): https://ectvendor.ecpay.com.tw 、 www.ecpay.com.tw、app.ecpay.com.tw (其他測試範圍內的子網域也可利用此漏洞)
概念性驗證(PoC) 說明: 測試工具: Burp Suite Professional
重現步驟:
一、對子網域 app.ecpay.com.tw 發出POST請求,故意同時填上兩個請求頭
Content-Length:6 (CL)
Transfer-Encoding:chunked (TE)
前端 Akamai解析CL,因此將body的0跟G都傳輸過去
但後端ASP.NET是解析TE,分塊傳輸看到0就以為已結束,因此G就被遺留在緩衝區
圖1
當下一個請求時,G會被合併在請求中,正常請求 POST / HTTP 1.1 就會變成 GPOST / HTTP 1.1導致無法判斷請求而響應變成400
圖1-1
以上兩個請求若以手動方式發送,將不會走私,判斷連線被切斷因此不同連線就沒有走私發生
但只要在burpsuite將兩個請求綁為group依序發出,則走私成功,代表具備HTTP請求走私漏洞只是連線時間短,
實務操作上若以turbo intruder發出大量請求則可忽視連線時間短的情形,近乎全覆蓋的方式可成功使真實用戶的請求被干擾為400響應(此測驗就是第一個請求後,走私成功等待第二個請求,若第二個請求是真實用戶則會被影響到,但此測驗採用的第二個請求也是我自己的請求,只是在證明走私成功影響到下一個請求,未影響到貴司真實用戶) 後續POC的另兩個步驟皆以此做為基礎,發展出進一步危害。
至此已達成1.請求污染 (DoS):透過注入非法字元使下一個使用者請求失敗(400 Bad Request)。
二、對ectvendor.ecpay.com.tw發出POST請求,並走私了GET /Areas HTTP 1.1
圖2
第二個請求成功被走私內容影響,跳轉到了/Areas 的非預期目錄
圖3
至此已達成2.路徑劫持 (Path Hijacking):強制使用者存取非預期的內部路徑(如 /Areas)。
三、此測驗最嚴重的發現,原來不只是同個子域名內的目錄可被劫持跳轉,即便是不同子域名也能實現,因而造成跨子域名劫持的危害
在第二個步驟無論是正常的請求或是走私的請求,都只是請求同個子域名,但現在嘗試不同子域名竟也能成功影響請求
對 www.ecpay.com.tw發出POST請求
走私的請求則將Host改到 signalr.ecpay.com.tw
第一個請求200正常反應,已走私 GET / HTTP/1.1
Host: signalr.ecpay.com.tw到緩衝區
圖4
第二個請求成功被走私影響,響應直接到了 signalr.ecpay.com.tw實現跨子網域的劫持
圖5
至此已達成 3.跨子網域劫持 (Cross-Subdomain Hijacking):攻擊者能跨越不同的子網域進行連線劫持(不只限於同個子網域中的目錄路徑)
黑客攻擊鏈路: 偵查找到疏於管理的子域名,實現 子網域接管(Subdomain Takeover)後,將此子網域替換為上述的跨子網域劫持HTTP請求走私的payload,那www.ecpay.com.tw的用戶將隨機被引導到被接管的子網域,實現將用戶劫持到完全可掌控的網站中。 此漏洞最嚴重的商業風險在於其隱蔽性。攻擊者無需誘使使用者點擊釣魚連結,僅需在 www.ecpay.com.tw 注入走私片段,即可在背景將合法使用者的交易或登入請求重定向至受控的第三方頁面。
修補建議:
強制規範:配置前端伺服器(Akamai)僅允許符合 HTTP/1.1 或 HTTP/2 嚴格規範的請求,並對同時包含 CL 與 TE 的請求直接進行封鎖。
禁用連線重用:針對敏感操作區域,評估禁用連線池(Connection Pooling)以防止去同步化攻擊。
後端加固:確保後端伺服器在解析到 chunked 編碼異常或不一致時,應立即重置 TCP 連線而非保留殘餘數據。
備註: 相關截圖如上所附。本測試僅限於技術驗證,未對真實使用者數據進行任何非法獲取或篡改。
希望以上報告有助於貴司的網路安全防護,若有任何疑問請以email回覆,期待我們雙方未來對於網安的共同合作
Best Regards,
Tony Lee
修補建議
強制規範:配置前端伺服器(Akamai)僅允許符合 HTTP/1.1 或 HTTP/2 嚴格規範的請求,並對同時包含 CL 與 TE 的請求直接進行封鎖。
禁用連線重用:針對敏感操作區域,評估禁用連線池(Connection Pooling)以防止去同步化攻擊。
後端加固:確保後端伺服器在解析到 chunked 編碼異常或不一致時,應立即重置 TCP 連線而非保留殘餘數據。
備註: 相關截圖如上所附。本測試僅限於技術驗證,未對真實使用者數據進行任何非法獲取或篡改。
希望以上報告有助於貴司的網路安全防護,若有任何疑問請以email回覆,期待我們雙方未來對於網安的共同合作