同程旅游网某处越权操作外加存储XSS漏洞

发表于 2014年12月23日
WooYun漏洞库

漏洞概要

缺陷编号：WooYun-2014-088286

漏洞标题：同程旅游网某处越权操作外加存储XSS漏洞

相关厂商：苏州同程旅游网络科技有限公司

漏洞作者：sex is not show

提交时间：2014-12-23 15:14

公开时间：2015-02-06 11:17

漏洞类型：设计缺陷/逻辑错误

危害等级：中

自评Rank：8

漏洞状态：厂商已经修复

Tags标签：

漏洞详情

披露状态：

2014-12-23: 细节已通知厂商并且等待厂商处理中
2014-12-23: 厂商已经确认，细节仅向厂商公开
2015-01-02: 细节向核心白帽子及相关领域专家公开
2015-01-12: 细节向普通白帽子公开
2015-01-22: 细节向实习白帽子公开
2015-02-06: 厂商已经修复漏洞并主动公开，细节向公众公开

简要描述：

详细说明：

问题出在http://go.ly.com/user/message/用户私信处：可以越权伪造别人发私信，也可以删除其他会员之间的私信,加入遍历ID的话，理想状态能删除全站的私信了...这是我的私信页面：

发私信并抓包，把MyId改成另一个测试帐号：

返回{actCode :'1',dateTime:'2014-12-23 13:55:43'}表示成功另外一个用户的私信页面，可以看到多了一条发送的私信：

再来看删除：在自己的私信页面点击删除并抓包，把参数改成myID=49724270&friendID=85937（我自己的ID是49757182）

另一个测试帐号的私信页面已经少了一条私信：

另外私信也可以xss,完全没过滤，这里就可以遍历ID发送，批量X用户cookie了：

漏洞证明：

修复方案：

你们懂的~

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：7

确认时间：2014-12-2315:43

厂商回复：

哥，这是你大号咩，我就不再要一遍联系方式了啊，到时候礼品卡一并发了。
越权问题不少，得想个统一的解决方案。
xss的问题，除了过滤，最近在测试CSP等安全头。
你可以看一下这个站，看看安全头这么配有问题不。

评价

2010-01-01 00:00 Mr.leo 白帽子 | Rank:932 漏洞数:80)

哥，这是你大号咩，我就不再要一遍联系方式了啊，到时候礼品卡一并发了。
2010-01-01 00:00 sex is not show 白帽子 | Rank:996 漏洞数:91)

@苏州同程旅游网络科技有限公司还真不是一个号，是一起的小伙伴而已~~
2010-01-01 00:00 Mr.leo 白帽子 | Rank:932 漏洞数:80)

@sex is not show 求组团刷同程！！
2010-01-01 00:00 sex is not show 白帽子 | Rank:996 漏洞数:91)

@Mr.leo 哈哈，我也是搭车而已
2010-01-01 00:00 BMa 白帽子 | Rank:1666 漏洞数:121)

@sex is not show 顺便捞上我呗