当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136961

漏洞标题:鹰漠旅行酒店预定APP配置不当(导致八大连锁酒店开房信息泄露)

相关厂商:鹰漠旅行

漏洞作者: 路人甲

提交时间:2015-08-26 01:09

修复时间:2015-10-10 01:10

公开时间:2015-10-10 01:10

漏洞类型:应用配置错误

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-08-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

官网介绍是这样:
鹰漠旅行,为酒店常旅客提供更好的选择,无缝链接八大连锁酒店集团会员卡系统,积分、优惠券实时同步!

详细说明:

http://www.innmall.cn/api/logs/


配置不当导致日志泄露,包括订单中的姓名、手机、分店,还看到有密码。
隔一会刷新日志都会不一样,看日期都是新的。

鹰漠app1.png


从图中可以看出,这是格林豪泰的会员中心

鹰漠app3.png


这里是如家的接口信息

鹰漠app6.png

漏洞证明:

这个汉庭酒店的

鹰漠app4.png


我们把其中一个密码来登录汉庭酒店

鹰漠app5.png

修复方案:

权限控制,这个APP真厉害,能和这么多酒店会员打通!
那会员是有多少个亿啊。

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:8 (WooYun评价)