当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0143108

漏洞标题:驴妈妈旅游网抽奖漏洞(恶意获取无数抽奖机会)

相关厂商:驴妈妈旅游网

漏洞作者: Xmyth_Xi2oMin9

提交时间:2015-09-24 10:21

修复时间:2015-11-08 10:56

公开时间:2015-11-08 10:56

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-09-24: 细节已通知厂商并且等待厂商处理中
2015-09-24: 厂商已经确认,细节仅向厂商公开
2015-10-04: 细节向核心白帽子及相关领域专家公开
2015-10-14: 细节向普通白帽子公开
2015-10-24: 细节向实习白帽子公开
2015-11-08: 细节向公众公开

简要描述:

RT

详细说明:

URL:http://www.lvmama.com/zt/promo/shiyi7/#dianPin
爱上点评抽奖活动:

活动期间用户发表1条订单点评,即可参与抽奖
没有订单,发普通点评:1条点评+字数超过100=1次抽奖机会
幸运奖:若点评被设为精华,可有机会获得充电宝奖品一个,活动结束后随机抽取50名用户。


45.jpg


这里是0次抽奖机会,假设我们通过脚本恶意点评是不是就可以获取更多的抽奖机会呢?那我们试试!首先要找一家商家进行点评,随便找一家进行测试。

5.jpg

之所以可以恶意点评,主要原因还是网站没有在点评处设置验证码,导致我们攻击的门槛大大降低。估计是处于营销的想法,也没有限制用户点评的频率。只要我们点评了一次,就可以获取一次抽奖机会。

漏洞证明:

6.jpg

修复方案:

环环相扣 虽然业务高于安全 但是至少要让别人利用的成本高一点吧 例如加验证码 限制用户点评的频率 或者说只有去过景点的用户才能进行点评 :-)

版权声明:转载请注明来源 Xmyth_Xi2oMin9@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-09-24 10:55

厂商回复:

谢谢

最新状态:

暂无