当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-025467

漏洞标题:去哪儿账号安全体系小缺陷会泄漏用户隐私

相关厂商:去哪儿

漏洞作者: 熊猫

提交时间:2013-06-08 18:21

修复时间:2013-07-23 18:22

公开时间:2013-07-23 18:22

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:6

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2013-06-08: 细节已通知厂商并且等待厂商处理中
2013-06-08: 厂商已经确认,细节仅向厂商公开
2013-06-18: 细节向核心白帽子及相关领域专家公开
2013-06-28: 细节向普通白帽子公开
2013-07-08: 细节向实习白帽子公开
2013-07-23: 细节向公众公开

简要描述:

去哪儿账号安全体系小缺陷

详细说明:

输入去哪儿账号后,可以看到密保邮箱,毫无隐藏,极度不安全。
类似:
WooYun: TOM邮箱账号安全体系小缺陷
WooYun: 拉手网账号安全体系小缺陷

漏洞证明:

1.点击找回密码

1.jpg


2.可以看到有手机或者邮箱

2.jpg

随便点 F12 都可以看到滴=-=

3.jpg


4.jpg


3.社工一下~~得到密码

5.jpg


6.jpg


可以查各种地址什么滴。。订单呀~
=-= 什么也没发现,主要没有目的,额 比如您的她...
离书又近了一步

修复方案:

应该隐藏起来呢~~ 那个 点击此处 会暴露吧 呀

版权声明:转载请注明来源 熊猫@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2013-06-08 18:32

厂商回复:

非常感谢您对去哪儿网的关注,我们会尽快处理该安全问题,稍会后送上精美小礼品,请留意站内消息。

最新状态:

暂无


漏洞评价:

评论

  1. 2013-06-08 18:39 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    =-= 这真是极好的呢~ @天际

  2. 2013-06-08 22:41 | 灬相随灬 ( 普通白帽子 | Rank:369 漏洞数:68 | 大胆天下去得,小心寸步难行。)

    @熊猫 好幸运,我提交这么多也没有得过礼物

  3. 2013-06-09 08:29 | 熊猫 ( 实习白帽子 | Rank:64 漏洞数:33 | panda)

    @灬相随灬 > < 我也没想过,只是想得到wb换书看。。加油~

  4. 2013-06-09 10:53 | 天际 ( 路人 | Rank:3 漏洞数:1 | 我只是在打酱油)

    熊猫猫好厉害~