漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2016-0173602
漏洞标题:业务安全途牛任意用户注册可领取红包并消费
相关厂商:途牛旅游网
漏洞作者: 疯子
提交时间:2016-01-29 14:24
修复时间:2016-03-14 15:10
公开时间:2016-03-14 15:10
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:1
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2016-01-29: 细节已通知厂商并且等待厂商处理中
2016-01-29: 厂商已经确认,细节仅向厂商公开
2016-02-08: 细节向核心白帽子及相关领域专家公开
2016-02-18: 细节向普通白帽子公开
2016-02-28: 细节向实习白帽子公开
2016-03-14: 细节向公众公开
简要描述:
不爽你们的安全态度~
详细说明:
和你们说过的,不作为是个很严重的问题,研发说什么就什么,这叫被研发吊打,安全说什么就什么,这叫安全吊打研发~
漏洞流程如下
1.找到一个酒店红包入口
http://dynamic.m.tuniu.com/event/lottery/opeLottery/lotteryAndSendAjax?tel=18605050505&actId=100&mark=jdwxhb&offCode=&type=1&one=1
tel写一个手机号即可,返回值里面包含了cookie的唯一值muser
2.这边领取的红包为酒店任意减少十块钱,在淘宝做黑产的很喜欢这种活动
类似这种红包网上有很多黄牛售卖
3.在消费登录的时候使用之前注册批量领取的红包用户muser就可以消费掉此红包(这是回答你们说不能消费的问题)
这边替换掉cookie可以登录上不是自己手机号的用户
默认下单的手机号是别人手机号
然后使用M站来测试下酒店的单
替换之后消费掉这个红包
漏洞证明:
只是想回复一下你们说的不可以消费~消费方法有很多,不一定是要手机验证码,最根本的问题是怎么可能返回未注册过途牛用户的muser值呢?这和泄露用户密码有什么区别?
修复方案:
老谭更专业~
版权声明:转载请注明来源 疯子@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2016-01-29 15:25
厂商回复:
感谢疯子,漏洞正在修复
最新状态:
暂无