漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-099909
漏洞标题:携程主站存在缺陷导致无限撞库攻击(验证码设计缺陷)
相关厂商:携程旅行网
漏洞作者: 黑暗游侠
提交时间:2015-03-07 11:31
修复时间:2015-04-26 11:44
公开时间:2015-04-26 11:44
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-03-07: 该漏洞正等待厂商内部评估
2015-03-07: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2015-03-27: 细节向核心白帽子及相关领域专家公开
2015-04-06: 细节向普通白帽子公开
2015-04-16: 细节向实习白帽子公开
2015-04-26: 细节向公众公开
简要描述:
csrc大法好,万能的csrc,一定要加特技。
详细说明:
主站手机登陆页面:
http://me.ctrip.com/hotel/myCtrip/login.html
加了验证码,看起来一切都很合理,无法进行duang了,基于图像去识别验证码是很庞大复杂的一个过程。
所以这真的要靠平实积累的经验和对安全的细节掌握了
我无话可说了,因为真的无语了,看图吧,携程竟然出现了如此低级的错误。。。。
那么,无限duang吧,主站不再是梦想
漏洞证明:
主站手机登陆页面:
http://me.ctrip.com/hotel/myCtrip/login.html
加了验证码,看起来一切都很合理,无法进行duang了,基于图像去识别验证码是很庞大复杂的一个过程。
所以这真的要靠平实积累的经验和对安全的细节掌握了
我无话可说了,因为真的无语了,看图吧,携程竟然出现了如此低级的错误。。。。
那么,无限duang吧,主站不再是梦想
修复方案:
特技加特技
版权声明:转载请注明来源 黑暗游侠@乌云
漏洞回应
厂商回应:
危害等级:高
漏洞Rank:20
确认时间:2015-03-07 11:43
厂商回复:
漏洞已确认真实存在,并已安排人处理。
十分感谢
最新状态:
暂无