漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-0123245
漏洞标题:逍遥行商旅网存在验证码逻辑缺陷可爆破登陆
相关厂商:逍遥行商旅网
漏洞作者: 路人甲
提交时间:2015-07-05 16:29
修复时间:2015-08-19 16:30
公开时间:2015-08-19 16:30
漏洞类型:设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-07-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-08-19: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
逍遥行商旅网是国内先进的商旅服务平台,2003年成立于北京,员工200余人,注册会员达600万,目前已为2500万人次及国内数百家中小企业提供机票、酒店、旅游、火车票、会奖、签证等在内的优质商旅服务。
目前公司拥有6家全资子公司:北京逍遥行科技有限公司、北京逍遥行国际旅行社有限公司、上海大浪淘沙汽车服务有限公司、上海逍派商旅服务有限公司、长沙逍遥行票务有限公司、广州天云票务代理有限公司。
详细说明:
官网http://www.feijipiao.cn
漏洞页面:http://www.feijipiao.cn/Account/Login
发现登陆框无验证码可无限次爆破
由于账户涉及到提现等金钱交易,以及订票信息,用户信息等所以危害严重
漏洞证明:
如上
修复方案:
把验证码加上,并且注册时密码加固,设为字母+数字等安全密码
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝