Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00612
- Title: 某單位 前端 JS bundle 硬編碼 HMAC-SHA256 金鑰 + AES 加密金鑰(Staging KYC API 認證繞過)
- Introduction: 某企業即時通訊 SaaS 平台的前端 JavaScript bundle 以明文硬編碼兩個密鑰:(1) HMAC-SHA256 簽名密鑰(用於 KYC API 的 `X-Signature` 請求驗證),(2) AES 加密金鑰(用於 localStorage 敏感 token 加密)。攻擊者從公開可存取的前端 bundle 即可提取上述密鑰,無需任何帳號或認證。使用硬編碼 HMAC 密鑰,Staging 伺服器的 KYC API 在無任何 session token 的情況下即通過驗證(HTTP 424
處理狀態
目前狀態
通報未回應
Last Update : 2026/05/27
-
新提交
-
已審核
-
通報中
-
未修補
-
未複測
-
公開
處理歷程
- 2026/04/30 18:14:19 : 新提交 (由 罐頭 更新此狀態)
- 2026/05/05 00:21:36 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/05/27 15:30:56 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/05/27 15:30:56 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
- 2026/05/27 15:30:57 : 通報未回應 (由 HITCON ZeroDay 服務團隊 更新此狀態)
詳細資料
- ZDID:ZD-2026-00612
- 通報者:guan4tou2 (罐頭)
- 風險:中
- 類型:資訊洩漏 (Information Leakage)
留言討論
登入後留言