当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-086636

漏洞标题:携程某API接口未限制可撞裤扫号

相关厂商:携程旅行网

漏洞作者: 啊L川

提交时间:2014-12-10 11:38

修复时间:2015-01-24 11:40

公开时间:2015-01-24 11:40

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2014-12-10: 细节已通知厂商并且等待厂商处理中
2014-12-10: 厂商已经确认,细节仅向厂商公开
2014-12-20: 细节向核心白帽子及相关领域专家公开
2014-12-30: 细节向普通白帽子公开
2015-01-09: 细节向实习白帽子公开
2015-01-24: 细节向公众公开

简要描述:

多乌云 多机会

详细说明:

0x01
登陆接口没有做限制,可利用接口撞裤,或是暴力破解用户密码
涉及用户绑定的邮箱,手机号 等敏感信息
0x02
手机版登陆地址

http://me.ctrip.com/hotel/myCtrip/login.html


可看到登陆处是需要验证码的。随便输入一个不存在账号 密码 验证码点击登陆 查看登陆请求

登陆接口:
https://openapi.ctrip.com/LogicSVR/AjaxServerNew.ashx
POST数据包:
requestJson=%7B%22AllianceID%22%3A+%221%22%2C%22SID%22%3A%20%221%22%2C%22SecretKey%22%3A%20%22abcDFG645354%22%2C%22UserName%22%3A%2213311113333%22%2C%22PassWord%22%3A%2296e79218965eb72c92a549dd5a330112%22%7D&callProxyKey=UserLogin&userId=


可看到在登陆请求中,是没有验证码的。密码也是md5加密后的,登陆失败后,验证码也没有刷新,,,,

漏洞证明:

0x03
测试帐号 登陆成功返回的数据

QQ20141207-4@2x.jpg


以1331139**** 号码段为例 来跑下密码为111111的用户
登陆请求截图

QQ20141207-3@2x.jpg


成功的结果

QQ20141207-2@2x.jpg


QQ20141207-1@2x.jpg


测试下弱用户名

QQ20141210-1@2x.jpg


不知道怎么使用burp 跑一个用户名对应一个密码,,,,

修复方案:

版权声明:转载请注明来源 啊L川@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:7

确认时间:2014-12-10 12:31

厂商回复:

感谢您提交此漏洞相关信息。漏洞已经提交至开发人员处进行修补。再次感谢!

最新状态:

暂无


漏洞评价:

评论

  1. 2015-01-09 13:17 | 番茄炒蛋 ( 普通白帽子 | Rank:106 漏洞数:31 | test)

    叫我师傅 我教你 哈哈..

  2. 2015-01-24 12:27 | 苦咖啡 ( 实习白帽子 | Rank:55 漏洞数:10 | 我就一菜逼,来看大牛装逼的)

    @番茄炒蛋 你教我吧大神 短信私聊联系方式

  3. 2015-01-24 16:27 | diguoji ( 普通白帽子 | Rank:323 漏洞数:79 | 中国吉林长春)

    选择第三个应该是一一对应