旅游业安全之同程旅游网某重要系统敏感信息泄露可登录酒店管理系统

漏洞概要

缺陷编号:WooYun-2015-0126639

漏洞标题:旅游业安全之同程旅游网某重要系统敏感信息泄露可登录酒店管理系统

相关厂商:苏州同程旅游网络科技有限公司

漏洞作者:管管侠

提交时间:2015-07-14 10:33

公开时间:2015-07-14 11:20

漏洞类型:重要敏感信息泄露

危害等级:高

自评Rank:15

漏洞状态:厂商已经修复

Tags标签:

漏洞详情

披露状态:

2015-07-14: 细节已通知厂商并且等待厂商处理中
2015-07-14: 厂商已经确认,细节仅向厂商公开
2015-07-14: 厂商已经修复漏洞并主动公开,细节向公众公开

简要描述:

我来了

详细说明:

https://admin1.17u.comhttps://dy.ly.com存在心脏滴血然后涉及到的域名有ebooking.ly.comzzyeb.ly.com....

漏洞证明:

登录个试试,成功了,不继续搞了,嘿嘿

每次打到的cookie都是不同的酒店或者用户的,呵呵

修复方案:

@@我来了

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-1410:36

厂商回复:

感谢关注同程旅游,已通知运维处理。

最新状态:

2015-07-14:新加的负载机器没有监测到,好羞耻..

评价

  1. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    要不要确认这么快

  2. 2010-01-01 00:00 卖C4的小男孩 白帽子 | Rank:43 漏洞数:3)

    你关注的白帽子 管管侠 发表了漏洞 旅游业安全之同城旅游网某重要系统敏感信息泄露可登录酒店

  3. 2010-01-01 00:00 卖C4的小男孩 白帽子 | Rank:43 漏洞数:3)

    @管管侠 这尼玛 你这个挖洞的速度也太快了吧。。

  4. 2010-01-01 00:00 大亮 白帽子 | Rank:267 漏洞数:28)

    @苏州同程旅游网络科技有限公司
    评论下自己的漏洞啊

  5. 2010-01-01 00:00 Cming 白帽子 | Rank:5 漏洞数:1)

    我@#$#!10:33分提交 10:36分确定?什么鬼!莫非是携程效应!?

  6. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    管管7月别发力好么,刚树立了目标要归榜,等下被你挤下去了

  7. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    @黑暗游侠 我的目标的第二,你的目标是第一,貌似互不影响吖

  8. 2010-01-01 00:00 黑暗游侠 白帽子 | Rank:1058 漏洞数:93)

    @管管侠 我的目标有前三就好了,毕竟紫霞仙子茜茜公主简直不是人,管管再也一发力就完了

  9. 2010-01-01 00:00 管管侠 白帽子 | Rank:1623 漏洞数:136)

    大爱同城!!!

  10. 2010-01-01 00:00 http://www.wooyun.org/corps/苏州同程旅游网络科技有限公司 白帽子 | Rank:0 漏洞数:0)

    @管管侠 礼品卡收到了?

  11. 2010-01-01 00:00 草榴社区 白帽子 | Rank:85 漏洞数:14)

    @苏州同程旅游网络科技有限公司 怎么跟你们的开发反馈信息?网站登录有问题。网站客服完全是2B。打电话也支支吾吾的。

  12. 2010-01-01 00:00 http://www.wooyun.org/corps/苏州同程旅游网络科技有限公司 白帽子 | Rank:0 漏洞数:0)

    @草榴社区 加我微信吧 ihacku