当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0146028

漏洞标题:钱宝有票大量未观影电影票验证码暴露

相关厂商:qbao.com

漏洞作者: 易咯

提交时间:2015-10-12 14:23

修复时间:2015-10-17 14:24

公开时间:2015-10-17 14:24

漏洞类型:未授权访问/权限绕过

危害等级:中

自评Rank:10

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-10-12: 细节已通知厂商并且等待厂商处理中
2015-10-17: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

钱宝也来乌云玩了啊,应该不用担心会跑路了
钱宝有票大量未观影电影票验证码暴露,可能造成电影票被他人冒领。
钱宝有票有个免费看电影的活动,大家不要去冒领别人的了。
http://mp.weixin.qq.com/s?__biz=MjM5NTM0NDcwOQ==&mid=210469531&idx=1&sn=31dd0cf5c59f5f890efd4badb5c05db8&3rd=MzA3MDU4NTYzMw==&scene=6#rd
目前只有99的套餐了,我买了个299的,今年48张票,应该看不完,朋友们有需要可以联系我,低价转让,钱宝不要封我号哈。
听说漏洞类型选错要扣分,有没有相关的攻略啊,没什么经验,下手不要太重啊,没乌币进社区了。

详细说明:

3.png


4.png


分享到微信,在默认浏览器中打开,提取出地址。
http://t.qianbao666.com/api/resources/action/announcement-detail.htm?id=56853
http://t.qianbao666.com/api/resources/action/announcement-detail.htm?id=???
问号可以替换成任何数字。下举两例:
http://t.qianbao666.com/api/resources/action/announcement-detail.htm?id=142002

1.png


http://t.qianbao666.com/api/resources/action/announcement-detail.htm?id=142006

2.png

漏洞证明:

http://t.qianbao666.com/api/resources/action/announcement-detail.htm?id=142002

1.png


http://t.qianbao666.com/api/resources/action/announcement-detail.htm?id=142006

2.png

修复方案:

其他几个浮漂都是引用的微信文章挺好的,不过即使浮漂没泄露地址,也最好把重要信息的地址的访问权限做好。没乌币进社区了,多给几个吧。

版权声明:转载请注明来源 易咯@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-10-17 14:24

厂商回复:

漏洞Rank:2 (WooYun评价)

最新状态:

暂无