去哪儿旗下合作的某火车代理订票系统后台SQL漏洞直接登陆可导致至少几百万用户身份信息泄露

漏洞概要

缺陷编号:WooYun-2015-0130299

漏洞标题:去哪儿旗下合作的某火车代理订票系统后台SQL漏洞直接登陆可导致至少几百万用户身份信息泄露

相关厂商:去哪儿

漏洞作者:Elliott

提交时间:2015-07-29 21:21

公开时间:2015-09-13 16:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

Tags标签:

漏洞详情

披露状态:

2015-07-29: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认,细节仅向厂商公开
2015-08-09: 细节向核心白帽子及相关领域专家公开
2015-08-19: 细节向普通白帽子公开
2015-08-29: 细节向实习白帽子公开
2015-09-13: 细节向公众公开

简要描述:

啪啪啪!!!

详细说明:

灵动快车网http://182.92.234.7/Admin/user/Login登陆后台设计缺陷 账号处填入admin'or 1=1--密码任意直接登录后台

漏洞证明:

我登陆的时候还源源不断的有预定和订票的信息显示。可见流量很大!看看昨天和今天的订票信息:

有2858条,凭借订单号可查询用户具体信息,如图:

身份证号,真实人名可以查看到。那么我想知道大概有多少用户量。如图:

等了大概10多分钟,弹出下载了csv格式文件,打开一看,从2014-11-30 到 2015-07-29就有873814条身份信息。如图:

那么我是如何确定是与去哪儿合作的呢,我查了某一位客户的订单号,如图:

其他的操作包括退票,删除订单等!!!

修复方案:

一不小心就被第三方泄露信息了!!!!用户隐私保护很重要!!!!!

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-3016:28

厂商回复:

感谢白帽同学关注去哪儿网安全,这个Ip是代理商的。我们尽快通知代理吧。
现在互联网业务交错繁杂,互相影响、互相调用,而且有些是业务所必要的信息,必须推送;所以就会出现一些短板,而且有些短板补起来比较难。安全就是要所有人都重视,小时候经常听爷爷说的一句话:众人拾柴火焰高。

最新状态:

暂无

评价

  1. 2010-01-01 00:00 草榴社区 白帽子 | Rank:85 漏洞数:14)

    这个描述我也是醉了.
    去哪儿网员工的二姨的妹夫的女婿开的饭馆的订餐系统后台弱口令,涉及附近西二旗百度的上万员工电话..

  2. 2010-01-01 00:00 king7 白帽子 | Rank:64 漏洞数:7)

    @草榴社区 表哥,你是大陆区代理?求1024注册码

  3. 2010-01-01 00:00 prolog 白帽子 | Rank:518 漏洞数:59)

    @草榴社区 表哥,你是大陆区代理?求1024注册码

  4. 2010-01-01 00:00 Mowen 白帽子 | Rank:0 漏洞数:0)

    表哥,你是大陆区代理?求1024注册码

  5. 2010-01-01 00:00 Lar2y 白帽子 | Rank:0 漏洞数:0)

    @草榴社区 表哥,你是大陆区代理?求1024注册码