当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-059025

漏洞标题:途牛会员姓名、身份证号等隐私信息泄露漏洞

相关厂商:途牛旅游网

漏洞作者: Cp0204

提交时间:2014-04-30 18:00

修复时间:2014-06-14 18:00

公开时间:2014-06-14 18:00

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:11

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-30: 细节已通知厂商并且等待厂商处理中
2014-04-30: 厂商已经确认,细节仅向厂商公开
2014-05-10: 细节向核心白帽子及相关领域专家公开
2014-05-20: 细节向普通白帽子公开
2014-05-30: 细节向实习白帽子公开
2014-06-14: 细节向公众公开

简要描述:

途牛会员中心某处没有验证用户权限,可盲打获取他人隐私信息
去哪儿了、和谁去、名字、身份证号…

详细说明:

五一打算去玩,第一次用途牛,结果就发现了。
在会员中心,订单详情页面 

http://www.tuniu.com/u/orderdetail/3301443

其中3301443是我自己的订单号,里面有相关附件的下载。

QQ截图20140430171838.png


各附件的下载地址形式如:

http://www.tuniu.com/yii.php?r=user/user/downloadFile/&id=67[隐私处理]34&orderId=3301443


发现原来是用yii框架就不说了~试着改id值,结果下载的是别人的pdf!有可能是旅游合同!行程路线!旅游保单!
而这些文件中,清晰地记录着旅游人的姓名、身份证号码、旅游项目等信息。
对了,测试了好像是要登陆并且orderId是本账户下的才行。
也就是说,当你有一个订单,就可以盲打id下载别人的附件了。

漏洞证明:

随便下的

QQ截图20140430173246.png

QQ截图20140430173719.png

QQ截图20140430174532.png

QQ截图20140430174514.png

QQ截图20140430175049.png

修复方案:

为什么验证了orderId不验证附件id呢

版权声明:转载请注明来源 Cp0204@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-04-30 18:10

厂商回复:

非常感谢,正在修复中。

最新状态:

2014-04-30:已修复