Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00411
- 發信 Vendor: 奧斯丁國際有限公司
- Title: 奧斯丁國際有限公司 後台管理系統存在點擊劫持 (Clickjacking) 漏洞
- Introduction: 該網站後台登入頁面缺乏防護 iframe 嵌入之安全標頭,導致點擊劫持 (Clickjacking) 與 UI 偽裝風險
處理狀態
目前狀態
-
新提交
-
已審核
-
已通報
-
已修補
-
未複測
-
公開
處理歷程
- 2026/03/25 03:54:36 : 新提交 (由 HKzz 更新此狀態)
- 2026/03/25 04:18:18 : 新提交 (由 HKzz 更新此狀態)
- 2026/03/25 12:43:50 : 新提交 (由 HKzz 更新此狀態)
- 2026/03/25 15:04:49 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/09 16:57:37 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/09 16:57:37 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/09 16:57:38 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/14 11:13:32 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/14 11:13:32 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/14 11:13:32 : 修補中 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/04/27 17:19:15 : 已修補 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/05/05 03:00:07 : 公開 (由 HITCON ZeroDay 平台自動更新)
詳細資料
- ZDID:ZD-2026-00411
- 通報者:HKzz (HKzz)
- 風險:中
- 類型:ClickJacking (ClickJacking)
參考資料
相關網址
敘述
經檢測發現,目標網站的後台管理登入頁面 (/admin/login.php) 未正確設定 X-Frame-Options 與 Content-Security-Policy 等 HTTP 安全回應標頭。這導致該高敏感頁面允許被任意第三方網域透過 <Iframe> 標籤進行跨域載入與嵌入。
攻擊者可利用設定缺失構造惡意釣魚網頁。透過將目標網站後台的 iframe 設置為透明 (Opacity: 0),並覆蓋於看似無害的按鈕或輸入框之上,可誘騙具有權限之網站管理員在不知情的情況下,在駭客的網頁上輸入帳號密碼或點擊授權按鈕,導致高權限憑證外洩或非預期之系統變更。從系統特徵判斷,此為「凱克博實業」所開發之公版 CMS,可能影響多個採用同套系統之企業。
1.在任意本地端環境建立一個 HTML 檔案(如 test.html)。
2.將以下概念驗證程式碼寫入該檔案:
<!DOCTYPE html>
<html>
<head>
<title>Clickjacking PoC</title>
</head>
<body>
<h1>Clickjacking 漏洞驗證</h1>
<p>若下方成功載入目標網站之後台登入頁面,即證實漏洞存在:</p>
<iframe src="https://www.oursteam.com.tw/admin/login.php" width="800" height="600"></iframe>
</body>
</html>
- 使用瀏覽器開啟 test.html。
- 觀察畫面,目標網站的後台登入頁面被成功跨域載入,證實缺乏防禦 iframe 嵌入之機制。
修補建議
建議系統開發商或網站管理員於伺服器端(Apache / Nginx 設定檔)或應用程式端(PHP header 輸出)強制加入以下安全標頭
傳統防護機制:
加入 X-Frame-Options: SAMEORIGIN(僅允許同網域嵌入)或 X-Frame-Options: DENY(完全禁止嵌入)。
現代防護機制:
部署內容安全策略,加入 Content-Security-Policy: frame-ancestors 'self';,以提供更嚴謹的來源限制。