当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0167394

漏洞标题:悄无声息登陆发现旅行任意用户(操作订单\查看身份信息等)

相关厂商:fxtrip.com

漏洞作者: 故滨

提交时间:2016-01-08 17:55

修复时间:2016-02-22 21:46

公开时间:2016-02-22 21:46

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-08: 细节已通知厂商并且等待厂商处理中
2016-01-10: 厂商已经确认,细节仅向厂商公开
2016-01-20: 细节向核心白帽子及相关领域专家公开
2016-01-30: 细节向普通白帽子公开
2016-02-09: 细节向实习白帽子公开
2016-02-22: 细节向公众公开

简要描述:

发现旅行网今天获得了千万美元B轮融资,检测一下吧。
发现旅行网已完成近百万注册用户,月均订单量3500万元。发现旅行网是一家主打出境旅游一站式自由行旅游服务的公司,专注于制定有主题有深度的行程。

详细说明:

厂商网址:fxtrip.com
登陆后,可以看到有一个微信登陆的二维码,扫描二维码后即可在微信中登陆发现旅行账户。

屏幕快照 2016-01-05 08.40.29.png


获取二维码信息的链接如下,其中userstrc参数的值可以替换成“u_整数”,这样可以获取任意用户的微信二维码链接:

http://m.fxtrip.com/weixin/qrcode_user&userstr=u_31776&callback=jQuery17205261112812440842_1451954382374?_=1451954395534


访问上面链接后的返回值,url的值就是二维码的链接,浏览器访问的时候需要去掉转义符“\”:

jQuery17205261112812440842_1451954382374({"url":"https:\/\/mp.weixin.qq.com\/cgi-bin\/showqrcode?ticket=gQGq8DoAAAAAAAAAASxodHRwOi8vd2VpeGluLnFxLmNvbS9xL1FVd2tFaVhtaTRIeU4zNV9YR1RPAAIEdt6JVgMEAAAAAA=="})


访问链接获取二维码,扫描即可在微信中登录发现旅行了,和网站上的操作是相同的:

https://mp.weixin.qq.com/cgi-bin/showqrcode?ticket=gQGq8DoAAAAAAAAAASxodHRwOi8vd2VpeGluLnFxLmNvbS9xL1FVd2tFaVhtaTRIeU4zNV9YR1RPAAIEdt6JVgMEAAAAAA==


屏幕快照 2016-01-05 08.41.33.png


漏洞证明:

登陆任意账户证明
联系人信息,可以查看护照

2.pic_hd.png


3.pic_hd.png


订单信息,可以进行操作

4.pic_hd.png


点到为止,通过遍历可以获取整站用户的微信登录链接,微信和网站的操作是同步的。

修复方案:

获取微信二维码的链接应该和当前session绑定

版权声明:转载请注明来源 故滨@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-01-10 18:12

厂商回复:

谢谢亲发现的漏洞

最新状态:

暂无