当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0170253

漏洞标题:凯撒旅游官网短信轰炸+任意用户密码重置+任意敏感信息泄露(确实影响40w+旅客信息)三

相关厂商:凯撒旅游

漏洞作者: 方大核桃

提交时间:2016-01-16 12:14

修复时间:2016-03-04 13:27

公开时间:2016-03-04 13:27

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-01-16: 细节已通知厂商并且等待厂商处理中
2016-01-20: 厂商已经确认,细节仅向厂商公开
2016-01-30: 细节向核心白帽子及相关领域专家公开
2016-02-09: 细节向普通白帽子公开
2016-02-19: 细节向实习白帽子公开
2016-03-04: 细节向公众公开

简要描述:

http://www.wooyun.org/bugs/wooyun-2015-0110098
http://www.wooyun.org/bugs/wooyun-2010-0108372
前面两个给了15rank...你们看着办吧

详细说明:

大家好,我是老三.
这次我把标题稍微改了一下,因为我发现userID已经到了40W+
回顾

http://**.**.**.**/bugs/wooyun-2010-0108372
http://**.**.**.**/bugs/wooyun-2015-0110098


这两个漏洞,发现影响还是比较有限的
1.短信轰炸说得有点大了,经测试那个系统并不能轰炸.只能任意重置密码,对于没有注册的手机号它是不会发送短信的
2.任意敏感信息泄露,这个也是比较麻烦的,因为你首先得知道人家注册用的手机号,虽然可以通过暴力破解解决,但影响有限是真的
那么,现在来看看我找出来的漏洞:
1.逻辑设计错误,在安卓app端注册的时候获取短信验证码是这样一条消息:

GET /AppUser.ashx?action=reg_mobile_code&mobile=18888888888 HTTP/1.1
Accept-Encoding: gzip
Host: **.**.**.**
Connection: Keep-Alive


就是一条get语句,可对任意没有注册的用户发送验证码,这样我可以把全校大一的手机号轰炸一遍一遍又一遍.厂商不修复我能不停地炸上一年,当然,这是后话
证明:

选区_019.png


验证码.jpg


2.买家信息泄露:
在查询订单号的时候发现了这么一条语句:

GET /ws/orderdetail.ashx?ordercode=W201510210205082 HTTP/1.1
Accept-Encoding: gzip
Host: **.**.**.**
Connection: close


ordercode 可以遍历,且十分容易遍历:
payload其中201510210205类似时间戳,用brup suite测试将payload设置成最后三位数,得到订单信息:

选区_018.png


其中包含付款信息和手机号

-喂,你好,是刘先生吗?您是我我们第400000位嘉宾,现在公司给您的订单打了一折,您把7000块打到这个账户上就好了,我们在后台给您确认支付.
-恩恩恩,好的好的好的,我这就给您打钱去


ps:麻烦管理员把我另外两个漏洞审核了

漏洞证明:

验证码.jpg


选区_018.png

修复方案:

不关注wooyun的厂商不是好厂商,主动忽略漏洞的厂商都应该被抓去动物园喂猴子
大厂.....我要买个手表回去过年 QAQ

版权声明:转载请注明来源 方大核桃@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-01-20 10:06

厂商回复:

CNVD未直接复现所述情况,已由CNVD通过软件生产厂商公开联系渠道向其邮件通报,由其后续提供解决方案。

最新状态:

暂无