当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022354

漏洞标题:汉庭优惠券免费无限领取漏洞,刷券咯~

相关厂商:汉庭酒店

漏洞作者: 凡凡~~~~

提交时间:2013-04-23 11:48

修复时间:2013-04-25 15:14

公开时间:2013-04-25 15:14

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-23: 细节已通知厂商并且等待厂商处理中
2013-04-23: 厂商已经确认,细节仅向厂商公开
2013-04-25: 厂商提前公开漏洞,细节向公众公开

简要描述:

登陆网站后能够领取免费的优惠券N次

详细说明:

http://www.htinns.com/reg/trip1
登陆之后可以领取优惠券,领取好之后按返回,只要输入一下子密码又能重新提交,又可以获得优惠券。

漏洞证明:

00_meitu_1.jpg


04.png

03.png

02.png

01.png


我会说我已经领了好多优惠券了么。。。。

修复方案:

这个你们更专业

版权声明:转载请注明来源 凡凡~~~~@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-04-23 14:04

厂商回复:

感谢白帽的报告提交,该链接是一个正常的市场优惠活动。
1. 这个不算是漏洞,因为优惠券是限定本账户使用:即用户本人本卡使用,因此优惠券在用户账户中无法转增,或者买卖,仅供领取人本人使用。因为用优惠券的使用是必须产生实际入住的,这个之前在活动中是考虑到的。
2. 针对这次外部活动,考虑到有些是活跃会员,为了培养会员的网络预订习惯,虽然写了200元礼包,没有做专门的限制。
3. 针对优惠券领取次数之前都设定过,这次我们想看一下不设定是否会对间夜贡献量有大的提升。但目前看从外部平台线上扫码效果不理想,可以做限定处理。
4. 以后优惠券设定限用几套还是电商部按照活动情况灵活配置。
感谢对华住集团的关注,还是给1分吧。

最新状态:

2013-04-25:非漏洞。

漏洞评价:

评论

  1. 2013-04-23 12:34 | VIP ( 普通白帽子 | Rank:759 漏洞数:100 )

    mark

  2. 2013-04-23 14:06 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    厂商啊 你之前漏洞都没补啊 @汉庭酒店

  3. 2013-04-23 16:26 | expl0 ( 路人 | Rank:21 漏洞数:3 | 一枚小菜鸟,初入江湖,低调求发展)

    感谢对华住集团的关注,还是给1分吧。。。。。

  4. 2013-04-25 21:09 | 乌帽子 ( 路人 | Rank:29 漏洞数:3 | 学习黑客哪家强 | 中国山东找蓝翔 | sql...)

    呵呵 挺大款的呀!

  5. 2013-04-25 21:10 | xsser 认证白帽子 ( 普通白帽子 | Rank:254 漏洞数:18 | 当我又回首一切,这个世界会好吗?)

    为什么最后又说是非漏洞呢

  6. 2013-04-25 22:46 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    我觉得是漏洞啊。业务逻辑上的问题

  7. 2013-04-26 09:48 | x1aoh4i ( 普通白帽子 | Rank:403 漏洞数:62 )

    乌云思密达 好大方的