要出发旅行捣入后台导致(泄露部分用户敏感信息/可替换官方APP更新下载包以及其他信息)

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133020

漏洞标题：要出发旅行捣入后台导致(泄露部分用户敏感信息/可替换官方APP更新下载包以及其他信息)

漏洞作者： M4sk

提交时间：2015-08-10 12:52

修复时间：2015-09-28 15:16

公开时间：2015-09-28 15:16

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-08-10：细节已通知厂商并且等待厂商处理中
2015-08-14：厂商已经确认，细节仅向厂商公开
2015-08-24：细节向核心白帽子及相关领域专家公开
2015-09-03：细节向普通白帽子公开
2015-09-13：细节向实习白帽子公开
2015-09-28：细节向公众公开

简要描述：

详细说明：

Title : yaochufa%u7BA1%u7406%u7CFB%u7EDF
location : http://you.yaochufa.com/portal/feedback/index/page/2
toplocation : http://you.yaochufa.com/portal/feedback/index/page/2
cookie : CNZZDATA1000509376=808276689-1431308414-http%253A%252F%252Fwww.yaochufa.com%252F%7C1431308414; youProvince=%E5%B9%BF%E4%B8%9C; Hm_lvt_f31dc171e9a537f567129cb4074409a6=1436509516,1437615566,1438134851,1438591019; CNZZDATA1000465838=1610377201-1432020832-http%253A%252F%252Fwww.yaochufa.com%252F%7C1438590333; CNZZDATA1000490903=357022610-1438585743-http%253A%252F%252Fyou.yaochufa.com%252F%7C1438591238; Hm_lvt_51a8cfa1a54e5012b018dcef320fa732=1437704045; Hm_lvt_51a8cfa1a54e5012b018dcef320fa732=1437704045,1438916784; [email protected]; PHPSESSID=n8pj9759sepmbpvfjk9sash9c4; currentIpAddress=provinceId%3D21%26province%3Dguangdong%26provinceCode%3D440000%26provinceShowName%3D%25E5%25B9%25BF%25E4%25B8%259C%26cityName%3D%25E5%25B9%25BF%25E5%25B7%259E; recentlyViewed=18977%2C10479%2C18048%2C14155%2C2948%2C14032%2C14100%2C18410%2C14248%2C18870; Hm_lvt_84c5b2688d39b4e3c23d132b53b4e79b=1438737874,1438846358,1438910868,1439173559; Hm_lpvt_84c5b2688d39b4e3c23d132b53b4e79b=1439173565
opener :
HTTP_REFERER : http://you.yaochufa.com/portal/feedback/index/page/2
HTTP_USER_AGENT : Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.93 Safari/537.36
REMOTE_ADDR : 121.33.210.1

可以替换各种APP下载包哦这个应该是推广的你懂得啦替换成木马还还得了

这里是官方的APP更新下载地址哦可替换你懂得了~
可泄露用户大量信息哦如姓名地址手机号

官网一些内容都可以改了

漏洞证明：

综上

修复方案：

过滤

版权声明：转载请注明来源 M4sk@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2015-08-14 15:14

厂商回复：

谢谢您的努力！

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133020

漏洞标题：要出发旅行捣入后台导致(泄露部分用户敏感信息/可替换官方APP更新下载包以及其他信息)

相关厂商：要出发旅行网

漏洞作者： M4sk

提交时间：2015-08-10 12:52

修复时间：2015-09-28 15:16

公开时间：2015-09-28 15:16

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 M4sk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0133020

漏洞标题：要出发旅行捣入后台导致(泄露部分用户敏感信息/可替换官方APP更新下载包以及其他信息)

相关厂商：要出发旅行网

漏洞作者： M4sk

提交时间：2015-08-10 12:52

修复时间：2015-09-28 15:16

公开时间：2015-09-28 15:16

漏洞类型：敏感信息泄露

危害等级：高

自评Rank：15

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0133020"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 M4sk@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

Tags标签：无

4人收藏收藏
分享漏洞：