当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0173602

漏洞标题:业务安全途牛任意用户注册可领取红包并消费

相关厂商:途牛旅游网

漏洞作者: 疯子

提交时间:2016-01-29 14:24

修复时间:2016-03-14 15:10

公开时间:2016-03-14 15:10

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:1

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-01-29: 细节已通知厂商并且等待厂商处理中
2016-01-29: 厂商已经确认,细节仅向厂商公开
2016-02-08: 细节向核心白帽子及相关领域专家公开
2016-02-18: 细节向普通白帽子公开
2016-02-28: 细节向实习白帽子公开
2016-03-14: 细节向公众公开

简要描述:

不爽你们的安全态度~

详细说明:

和你们说过的,不作为是个很严重的问题,研发说什么就什么,这叫被研发吊打,安全说什么就什么,这叫安全吊打研发~
漏洞流程如下
1.找到一个酒店红包入口
http://dynamic.m.tuniu.com/event/lottery/opeLottery/lotteryAndSendAjax?tel=18605050505&actId=100&mark=jdwxhb&offCode=&type=1&one=1
tel写一个手机号即可,返回值里面包含了cookie的唯一值muser

1.pic_hd.jpg


2.这边领取的红包为酒店任意减少十块钱,在淘宝做黑产的很喜欢这种活动

9.pic.jpg


类似这种红包网上有很多黄牛售卖

2.pic_hd.jpg


3.在消费登录的时候使用之前注册批量领取的红包用户muser就可以消费掉此红包(这是回答你们说不能消费的问题)

3.pic_hd.jpg


这边替换掉cookie可以登录上不是自己手机号的用户

8.pic.jpg


默认下单的手机号是别人手机号

5.pic.jpg


然后使用M站来测试下酒店的单
替换之后消费掉这个红包

6.pic.jpg


7.pic.jpg


漏洞证明:

只是想回复一下你们说的不可以消费~消费方法有很多,不一定是要手机验证码,最根本的问题是怎么可能返回未注册过途牛用户的muser值呢?这和泄露用户密码有什么区别?

修复方案:

老谭更专业~

版权声明:转载请注明来源 疯子@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2016-01-29 15:25

厂商回复:

感谢疯子,漏洞正在修复

最新状态:

暂无