当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0123245

漏洞标题:逍遥行商旅网存在验证码逻辑缺陷可爆破登陆

相关厂商:逍遥行商旅网

漏洞作者: 路人甲

提交时间:2015-07-05 16:29

修复时间:2015-08-19 16:30

公开时间:2015-08-19 16:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-19: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

逍遥行商旅网是国内先进的商旅服务平台,2003年成立于北京,员工200余人,注册会员达600万,目前已为2500万人次及国内数百家中小企业提供机票、酒店、旅游、火车票、会奖、签证等在内的优质商旅服务。
目前公司拥有6家全资子公司:北京逍遥行科技有限公司、北京逍遥行国际旅行社有限公司、上海大浪淘沙汽车服务有限公司、上海逍派商旅服务有限公司、长沙逍遥行票务有限公司、广州天云票务代理有限公司。

详细说明:

官网http://www.feijipiao.cn
漏洞页面:http://www.feijipiao.cn/Account/Login
发现登陆框无验证码可无限次爆破

QQ图片20150628123528.png


QQ图片20150628123634.png


由于账户涉及到提现等金钱交易,以及订票信息,用户信息等所以危害严重

QQ图片20150628123830.png


漏洞证明:

如上

修复方案:

把验证码加上,并且注册时密码加固,设为字母+数字等安全密码

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝