漏洞概要
关注数(24)
关注此漏洞
漏洞标题:深航酒店直接绕过权限添加管理员帐号,泄漏大量的客户信息
提交时间:2015-04-05 14:46
修复时间:2015-05-20 14:48
公开时间:2015-05-20 14:48
漏洞类型:未授权访问/权限绕过
危害等级:高
自评Rank:20
漏洞状态:未联系到厂商或者厂商积极忽略
Tags标签:
无
漏洞详情
披露状态:
2015-04-05: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-05-20: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
这个网站的管理人员也太牛了,真的是佩服的五体投地
详细说明:
我已经添加一个测试帐号:a7878a
直接登陆后台
大量的客户预订信息
客户的积分和详细信息
不知道哪里来的大量的管理帐号
漏洞证明:
我已经添加一个测试帐号:a7878a
直接登陆后台
大量的客户预订信息
客户的积分和详细信息
不知道哪里来的大量的管理帐号
修复方案:
直接让维护人员滚蛋回家!漏洞百出!加强权限管理!
删除无用的帐号,删除测试帐号:a7878a
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞Rank:15 (WooYun评价)
漏洞评价:
评论
-
2015-05-20 14:54 |
myhalo ( 普通白帽子 | Rank:281 漏洞数:55 | 所属团队:TSafe)
-
2015-05-20 15:00 |
头晕脑壳疼 ( 普通白帽子 | Rank:158 漏洞数:34 | 我是网络小菜鸟)
-
2015-05-20 16:10 |
真旅网集团(乌云厂商)
我的那个去,厂商太牛了,直接忽略。。我现在还可以打开他们后台和加管理账户。。
-
2015-05-20 16:11 |
真旅网集团(乌云厂商)
-
2015-05-20 16:29 |
头晕脑壳疼 ( 普通白帽子 | Rank:158 漏洞数:34 | 我是网络小菜鸟)
-
2015-05-20 16:32 |
真旅网集团(乌云厂商)
-
2015-05-20 16:41 |
头晕脑壳疼 ( 普通白帽子 | Rank:158 漏洞数:34 | 我是网络小菜鸟)
-
2015-05-20 16:57 |
真旅网集团(乌云厂商)
-
2015-05-21 18:00 |
167怪兽 ( 路人 | Rank:3 漏洞数:2 | 167怪兽)
-
2015-05-21 18:01 |
真旅网集团(乌云厂商)
@167怪兽 来呀,别搞破坏就行,一大波礼物坐等来领。。
-
2015-05-21 18:02 |
真旅网集团(乌云厂商)
@167怪兽 不是我任性,是真礼物太多,仓库要腾地方~
-
2015-05-21 20:36 |
Me_Fortune ( 普通白帽子 | Rank:209 漏洞数:71 | I'm Me_Fortune)
-
2015-05-24 04:19 |
167怪兽 ( 路人 | Rank:3 漏洞数:2 | 167怪兽)
