某酒店接口可直接访问用户数据 | wooyun-2013-040707| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-040707

漏洞标题：某酒店接口可直接访问用户数据

漏洞作者：小飞侠〆

提交时间：2013-10-23 02:24

修复时间：2013-12-07 02:25

公开时间：2013-12-07 02:25

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2013-10-23：积极联系厂商并且等待厂商认领中，细节不对外公开
2013-12-07：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

可以通过有规律的拼凑URL请求来获取到所有的订单数据，包括相关的会员联系方式等...

详细说明：

通过Android客户端进行的反编译，一个请求格式
http://211.152.60.227:8011/API/getresv.aspx?service=get_resv_info&partner=ben4a8ysd&orderid=130512021002010
Ps:可以直接改orderid=130512021002010就可以看到别的用户信息
可以通过有规律的拼凑URL请求来获取到所有的订单数据，包括相关的会员联系方式等...

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-040707

漏洞标题：某酒店接口可直接访问用户数据

相关厂商：格林豪泰连锁酒店

漏洞作者：小飞侠〆

提交时间：2013-10-23 02:24

修复时间：2013-12-07 02:25

公开时间：2013-12-07 02:25

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源小飞侠〆@乌云

漏洞回应

厂商回应：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2013-040707

漏洞标题：某酒店接口可直接访问用户数据

相关厂商：格林豪泰连锁酒店

漏洞作者： 小飞侠〆

提交时间：2013-10-23 02:24

修复时间：2013-12-07 02:25

公开时间：2013-12-07 02:25

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：20

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2013-040707"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 小飞侠〆@乌云

漏洞回应

厂商回应：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：小飞侠〆

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源小飞侠〆@乌云