当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-057432

漏洞标题:途牛旅行网任意帐户密码修改

相关厂商:途牛旅游网

漏洞作者: 假马

提交时间:2014-04-17 16:58

修复时间:2014-06-01 16:59

公开时间:2014-06-01 16:59

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-04-17: 细节已通知厂商并且等待厂商处理中
2014-04-17: 厂商已经确认,细节仅向厂商公开
2014-04-27: 细节向核心白帽子及相关领域专家公开
2014-05-07: 细节向普通白帽子公开
2014-05-17: 细节向实习白帽子公开
2014-06-01: 细节向公众公开

简要描述:

任意密码修改。

详细说明:

上次提了个大数据的论坛管理号,给了10个R。还算良心。
可你要联系方式了。又不给礼物的。伤心死我了!
任意帐户密码修改,说大不大,说小嘛,都快上市的公司了,这种错误应该不能犯啊!
审核元素 修改更改密码的手机号即可
下面那手机号估摸着就是你们部门的吧。随便找的。密码被我改了。麻烦重新改回去哈!

1.jpg


3.jpg


171623004f3204adc745e3276d4db4913cab9d90.jpg


5.jpg


漏洞证明:

这是登入记录。本来像社个论坛管理员的。实在没时间。社到管理员估计能多两个R吧!

6.jpg


7.jpg

修复方案:

刷级中,再多的R都不嫌多。这次不给礼物就别要联系方式。另:把程序员拉出去弹JJ100次!

版权声明:转载请注明来源 假马@乌云

漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2014-04-17 17:41

厂商回复:

感谢 @假马,漏洞已经修复。

最新状态:

暂无

漏洞评价:

评论

  1. 2014-04-17 17:01 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    咔嚓

  2. 2014-04-17 17:02 | 小川 认证白帽子 ( 核心白帽子 | Rank:1344 漏洞数:216 | 一个致力要将乌云变成搞笑论坛的男人)

    纳尼?

  3. 2014-04-17 17:03 | 秋风 ( 普通白帽子 | Rank:438 漏洞数:44 | 码农一枚,关注互联网安全)

    劈了?

  4. 2014-04-17 17:06 | Focusstart ( 普通白帽子 | Rank:574 漏洞数:163 | 努力让某某某成为最幸福的女人!)

    @川神 不好好上班~ 帝都求罩啊

  5. 2014-04-17 17:28 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    这个洞一定有新姿势!关注学习一下。

  6. 2014-04-17 17:31 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    加精一定有新姿势!

  7. 2014-04-17 20:13 | redsin ( 路人 | Rank:16 漏洞数:6 )

    秃牛

  8. 2014-04-18 00:31 | xiaoL ( 普通白帽子 | Rank:361 漏洞数:67 | PKAV技术宅社区!Blog:http://www.xlixli....)

    被雷劈有内幕啊

  9. 2014-05-07 18:02 | 齐迹 ( 核心白帽子 | Rank:784 漏洞数:100 | 一名普通的phper开发者,关注web安全。)

    没新姿势啊

  10. 2014-05-07 18:04 | ( 普通白帽子 | Rank:1207 漏洞数:104 | 传闻中魇是一个惊世奇男子,但是除了他华...)

    @齐迹 ..同

  11. 2014-06-01 17:12 | 李白 ( 普通白帽子 | Rank:142 漏洞数:29 )

    @齐迹 可能是csrf+XSS 自动加精了..然后鉴于他那么屌,也就劈着了

  12. 2014-06-01 17:14 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    修复方案太坑了吧,程序员往往比wooyun上的所谓白帽子要更厉害,你要记住,摧毁一座大厦往往比建成一座大厦简单!@假马

  13. 2014-06-01 18:48 | bey0nd ( 普通白帽子 | Rank:895 漏洞数:142 | 相忘于江湖,不如相濡以沫)

    楼上

  14. 2014-06-01 20:17 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @Anonymous.L 没有攻击何来的防御?没有厉害与不厉害的区分……

  15. 2014-06-01 23:29 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @Mosuan 一个真正意义上的白帽子,那么他在程序上肯定有一定的天赋,就好比黑客使用的工具,使用这个黑客工具很简单,而写这个工具的人更了不起,因为他不仅要了解原理而且还要用程序去实现它!

  16. 2014-06-01 23:46 | Mosuan ( 普通白帽子 | Rank:449 漏洞数:175 | 尘封此号,不装逼了,再见孩子们。by Mosua...)

    @Anonymous.L 网络攻与防,你说谁厉害?你说程序员比白帽子厉害,你这里又说白帽子叼,你到底想表达什么?会写程序就一定很吊?你撸撸睡吧

  17. 2014-06-01 23:47 | U神 ( 核心白帽子 | Rank:1285 漏洞数:142 | 感谢乌云,知恩不忘,其实我一直都在乌云默...)

    @Anonymous.L 程序员没有太多的安全意识

  18. 2014-06-02 13:36 | 小火苗 ( 路人 | Rank:6 漏洞数:1 | 我是一只小火苗呀,春风吹又生呀...)

    @Anonymous.L 写黑客工具的程序员和我们常说的程序员是一个概念?

  19. 2014-06-02 15:42 | Anonymous.L ( 实习白帽子 | Rank:37 漏洞数:8 | 最后一位关注xxxx的人 , 孤独之人)

    @Mosuan @U神 @小火苗 我只能说,如果你是个黑客,那你肯定是一个优秀的程序员!没有程序员的本质的黑客应该不算一个真正意思上的黑客吧。

  20. 2014-06-11 17:36 | 小人物Reno ( 普通白帽子 | Rank:471 漏洞数:110 | X)

    @秋风 这个为什么劈腿?! @xsser @疯狗