当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016140

漏洞标题:春秋航空公司订单信息控制不严

相关厂商:春秋航空

漏洞作者:

提交时间:2012-12-17 16:53

修复时间:2013-01-31 16:54

公开时间:2013-01-31 16:54

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-17: 细节已通知厂商并且等待厂商处理中
2012-12-20: 厂商已经确认,细节仅向厂商公开
2012-12-30: 细节向核心白帽子及相关领域专家公开
2013-01-09: 细节向普通白帽子公开
2013-01-19: 细节向实习白帽子公开
2013-01-31: 细节向公众公开

简要描述:

春秋航空公司订单信息控制不严,可查看他人订单。

详细说明:

春秋航空公司订单信息控制不严,可查看他人订单。看漏洞证明即可理解。

漏洞证明:

春秋航空线上查询存在设计缺陷,导致可查看他人订单信息。
订单信息才6位,大家都能利用穷尽法获取到更多的订单信息,本人仅罗列部分信息。
图一、二为正常操作。

1.jpg


2.jpg


下面仅为部分订单信息。

3.jpg


4.jpg


5.jpg


6.jpg


7.jpg

修复方案:

权限控制

版权声明:转载请注明来源 @乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2012-12-20 16:59

厂商回复:

CNVD确认漏洞情况,根据近期民航行业(包括春秋航空、首都航空、南方航空)网站出现多个漏洞,转由CNCERT正式函件方式通报民航行业信息化主管部门。
按需要弱用户认证,部分影响机密性进行评分,基本危害评分4.30(中危),发现技术难度系数1.1(不安全参数引用),涉及行业或单位影响系数1.3(涉及个人实名信息),综合rank=4.30*1.1*1.3=6.149

最新状态:

暂无

漏洞评价:

评论

  1. 2012-12-17 16:58 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    我记得这个谁发过了把

  2. 2012-12-17 17:03 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小胖胖要减肥 这个案例经典,等公开看吧,属于没有修复到点子上

  3. 2012-12-17 17:05 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser 我只能说我记性真好。。。。。我的新浪邮箱csrf求过啊

  4. 2012-12-17 17:10 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小胖胖要减肥 那个感觉没什么用啊...

  5. 2012-12-17 17:12 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser 哪有 你想想如果我能把你和另外的一个人的邮件弄到黑名单,那么你基本就收不到那个人的邮件了,在已删除或垃圾箱,一般这个2个都会自动删除,如果是重要邮件往来呢,关键用户根本不知道

  6. 2012-12-17 17:14 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小胖胖要减肥 好吧,再看看

  7. 2012-12-17 17:18 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser 如果post数据时xml或其他格式的,比如网易或雅虎的邮箱,怎么样才能构造csrf数据,有木有实例

  8. 2012-12-17 17:19 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小胖胖要减肥 这个问题有想法 @p.z

  9. 2012-12-17 17:23 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @p.z 可以注册看看雅虎邮箱那种post数据的格式,表示无能为力

  10. 2012-12-17 17:24 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @p.z <?xml version="1.0"?><object><object name="attrs"><string name="safelist">*@test.com,terry.zuo@ge.com,mail@example.com</string></object></object> 这个是网易的

  11. 2012-12-17 17:31 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @p.z {"method":"SetUserData","params":[{"setdata":{"blockedAddresses":{"blockedAddress":["test@123.com","test3@test.com"]}}}]} 雅虎邮箱的

  12. 2012-12-17 17:46 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)

    真热闹

  13. 2012-12-17 17:47 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Clar 你提交的csrf漏洞缺少实际的截图啊,关于证明的

  14. 2012-12-17 17:49 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)

    @xsser 不会呀!CSRF的图片我放到证明里面去了。毕竟会涉及到用户的隐私泄露。所以只有证明那里能看到呀!我连操作链接都放上去了

  15. 2012-12-17 17:50 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @Clar 太理论... 不具备可操作性

  16. 2012-12-17 17:52 | 苦逼老爷爷 ( 普通白帽子 | Rank:211 漏洞数:17 | 用户太懒什么都没留下)

    @小胖胖要减肥 记性不错,偶发的。。居然还没修啊

  17. 2012-12-17 17:53 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)

    @xsser 汗 就差一个接收账号密码和伪造页面了。俺属于老实人呀!我下次提交的时候 按照您老的要求顺便钓几个做证明,这样可以吧。这个就算了 俺们都是煤油 会被骂的

  18. 2012-12-17 17:58 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)

    @xsser T_T 今晚补上

  19. 2012-12-17 20:03 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    @小胖胖要减肥 方法一:xmlhttp直接发送xml格式的数据,跨域xmlhttp的话有些浏览器能发送但不能读到response,但对于csrf来说已经够了。方法二:<form action='http://www.baidu.com' method=post><input type=text name='<?xml version="1.0"?><object><object name' value='"attrs"><string name="safelist">*@test.com,terry.zuo@ge.com,mail@example.com</string></object></object> '></input><input type=submit></input></form>

  20. 2012-12-17 20:03 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    两个办法我都没试过啊

  21. 2012-12-17 20:04 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @p.z 我也没实验过,但是我会预测:1 ie无法跨域 2 会被encode

  22. 2012-12-17 20:21 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    那只能放大招,用flash跨了。

  23. 2012-12-17 20:22 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    @xsser 不对啊 服务器一般会对post过来的数据decode的吧。我觉得第二个应该是可行的啊。

  24. 2012-12-17 21:10 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @p.z "attrs"><string name="safelist">*@test.com,terry.zuo@ge.com,mail@example.com</string></object></object> 这个是按照你那个的提交框的内容 可能我没给完整,整个post地址http://twebmail.mail.163.com/js5/s?sid=VBYd********vInpidlDv&func=user:setAttrs&optionentry=optionSecNav&optionentrymodule=SafeListModule,然后request body看到的是var=<?xml version="1.0"?><object><object name="attrs"><string name="safelist">terry.zuo@ge.com,mail@example.com</string></object></object> 再看看呗@xsser

  25. 2012-12-17 21:29 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @p.z 报错内容This XML file does not appear to have any style information associated with it. The document tree is shown below.<result><code>FA_INVALID_SESSION</code></result>

  26. 2012-12-17 22:11 | p.z 认证白帽子 ( 普通白帽子 | Rank:411 漏洞数:40 )

    @小胖胖要减肥 你这是哪个操作?

  27. 2012-12-17 22:17 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @p.z 白名单,你也试试把,xml之前没有过实例呢

  28. 2012-12-17 22:43 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @p.z 成功了 不过显示内容需要调一下,我不会xml和html,奇葩的成功啊

  29. 2012-12-17 23:01 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @p.z 返回<result><code>S_OK</code></result> 但没进数据库,没戏了

  30. 2012-12-17 23:43 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser @p.z 搞定了 就是value时用单引号就可以了,估计因为里面是<....> {"method":"SetUserData","params":[{"setdata":{"blockedAddresses":{"blockedAddress":["test@123.com","test3@test.com"]}}}]} 雅虎邮箱的json格式肯定也能搞

  31. 2012-12-17 23:58 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @小胖胖要减肥 ... 我错了?

  32. 2012-12-18 08:27 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @xsser 反正我xml的一样csrf了 待会试试json的 那基本把3种post数据都弄了

  33. 2012-12-18 09:56 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @p.z yahoo的json不行,有没有兴趣试试

  34. 2012-12-18 12:50 | Clar ( 路人 | Rank:5 漏洞数:2 | 当前无)

    @小胖胖要减肥 胖哥这么悠闲呀!

  35. 2012-12-18 13:03 | 小胖胖要减肥 认证白帽子 ( 普通白帽子 | Rank:686 漏洞数:101 )

    @Clar 在学习好么

  36. 2012-12-19 10:35 | 墨水心_Len ( 实习白帽子 | Rank:70 漏洞数:15 | PKAV技术宅 | 每一个有文化的东西,我们都...)

    关注...