当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2012-016220

漏洞标题:艺龙旅行网1元买机票漏洞

相关厂商:艺龙旅行网

漏洞作者: jerryl3e

提交时间:2012-12-19 16:22

修复时间:2013-02-02 16:23

公开时间:2013-02-02 16:23

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2012-12-19: 细节已通知厂商并且等待厂商处理中
2012-12-21: 厂商已经确认,细节仅向厂商公开
2012-12-31: 细节向核心白帽子及相关领域专家公开
2013-01-10: 细节向普通白帽子公开
2013-01-20: 细节向实习白帽子公开
2013-02-02: 细节向公众公开

简要描述:

无意测试发现的。。。

详细说明:

漏洞发生在艺龙的安卓客户端,艺龙安卓客户端的所有数据都是通过明文传送,包括登录名和密码,开始测试预定酒店没有发现问题,因为服务器对金额有校验,但是测试买机票就发现有问题了。
首先在客户端上随便选一个日期的航班,如图1

1.jpg


图1
可以发现金额一共1100,又机票,机建,燃油3部分。然后继续补充订单信息,然后到最后确认订单。如图2

2.jpg


图2
重点就在这里,点击下面的提交订单,通过burpsuite拦截数据包,可以发现数据只是进行了url编码,如图3

3.jpg


URL解码后,如图4

4.jpg


图4
可以发现,敏感信息都是明文传送,然后我们可以修改其中的price值为1(机票价格)OilTax值为0(燃油)airtax为0(机建),然后改一下总金额totalprice为1,然后提交数据包就可以以我们用1元去买机票了,然后跳转到这里如图5

5.jpg


图5
因为抓包修改的传送到服务器的数据,所以客户端这里显示的是原价,但是服务器上的订单数据已经被修改了,可以在网站上看下订单,如图6,7

6.jpg


图6

7.jpg


图7
付款那里,就没有继续下去了,既然服务器的订单金额已经修改,付款也是按服务的金额来进行支付吧。。。

漏洞证明:

同上

修复方案:

对客户端传送的数据进行加密,并且在服务器对订单金额这些做校验

版权声明:转载请注明来源 jerryl3e@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:5

确认时间:2012-12-21 21:21

厂商回复:

谢谢对我们安全的支持。

最新状态:

暂无

漏洞评价:

评论

  1. 2012-12-19 16:29 | Jack ( 路人 | Rank:7 漏洞数:1 | 渴望成长)

    看看

  2. 2012-12-19 16:32 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    一块钱到北京来玩儿吧

  3. 2012-12-19 16:35 | 肉肉 认证白帽子 ( 普通白帽子 | Rank:112 漏洞数:10 | 肉肉在长亭科技,肉肉在长亭科技,肉肉在长...)

    两块钱,带我去耍嘛。元旦假期好长啊

  4. 2012-12-19 16:52 | 疯子 ( 普通白帽子 | Rank:242 漏洞数:42 | 世人笑我太疯癫,我笑世人看不穿~)

    三块钱出国吧....

  5. 2012-12-19 17:02 | se55i0n ( 普通白帽子 | Rank:1567 漏洞数:173 )

    求DZ帮忙1元预定回家机票~~~

  6. 2012-12-19 17:03 | wanglaojiu ( 普通白帽子 | Rank:168 漏洞数:39 | 道生一,一生二,二生三,三生万物,万物负...)

    四块钱整个船票吧

  7. 2012-12-19 17:47 | myh0st ( 普通白帽子 | Rank:164 漏洞数:36 | 我是小白,我要变黑!)

    哇,五快钱去外星吧!

  8. 2012-12-19 17:59 | lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)

    额,貌似我发过吧

  9. 2012-12-19 18:09 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    @lion(lp) ID?

  10. 2012-12-19 18:19 | jerryl3e ( 普通白帽子 | Rank:157 漏洞数:19 )

    @lion(lp) @xsser 看了以前那个洞,不一样的哈。

  11. 2012-12-19 18:33 | lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)

    @jerryl3e 恩,我之前好像也有成功过,不过当时用BP 用的不熟,后来就没管了 这次学习一下你的方式

  12. 2012-12-19 18:43 | jerryl3e ( 普通白帽子 | Rank:157 漏洞数:19 )

    @lion(lp) 嘿嘿,互相学习。

  13. 2012-12-19 19:46 | lion(lp) ( 普通白帽子 | Rank:115 漏洞数:14 | 本人菜。。。千年实习白帽子)

    @jerryl3e 没错

  14. 2012-12-19 20:42 | guiker ( 路人 | Rank:0 漏洞数:1 | PHP屌丝程序员!)

    一块钱带我去周游世界。

  15. 2012-12-21 22:09 | 摩斯 ( 路人 | Rank:3 漏洞数:2 | 每天进步一点点!努力学习技术!)

    ~~~一块钱

  16. 2013-01-22 13:49 | lsh4ck ( 实习白帽子 | Rank:81 漏洞数:14 | 不是黑客!但是黑客手段都要会?)

    他们损失止5rank?太吝啬了吧

  17. 2013-02-02 16:49 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    撸主。我想问问你是怎么用BP截到手机数据包的,手机wifi了代理?望不吝赐教。

  18. 2013-02-02 18:18 | oldcat ( 实习白帽子 | Rank:88 漏洞数:14 )

    @小胖子 知道了也告诉我一声,好奇

  19. 2013-02-03 02:35 | 专业查水表 ( 路人 | Rank:1 漏洞数:5 | "><script>alert(/我是"J.L"的大号/);</scr...)

    我也想知道怎么截手机数据包

  20. 2013-02-18 14:58 | jerryl3e ( 普通白帽子 | Rank:157 漏洞数:19 )

    @专业查水表 @oldcat @小胖子 用的安卓模拟器,模拟器设置了代理,然后就可以截数据包了,具体我测试步骤我发在了http://www.jerryl3e.com/?p=330

  21. 2013-02-18 16:35 | oldcat ( 实习白帽子 | Rank:88 漏洞数:14 )

    谢谢@jerryl3e

  22. 2013-02-18 16:37 | 小胖子 认证白帽子 ( 核心白帽子 | Rank:1727 漏洞数:140 | 如果大海能够带走我的矮丑...)

    @jerryl3e 看了下,还安装虚拟机,麻烦,我试试别的办法呢,http代理呢,又不安全,伤不起,

  23. 2013-02-18 16:59 | 专业查水表 ( 路人 | Rank:1 漏洞数:5 | "><script>alert(/我是"J.L"的大号/);</scr...)

    谢谢@jerryl3e 迟些连android开发环境等一并弄了再来搞