当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0130299

漏洞标题:去哪儿旗下合作的某火车代理订票系统后台SQL漏洞直接登陆可导致至少几百万用户身份信息泄露

相关厂商:去哪儿

漏洞作者: Elliott

提交时间:2015-07-29 21:21

修复时间:2015-09-13 16:30

公开时间:2015-09-13 16:30

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-07-29: 细节已通知厂商并且等待厂商处理中
2015-07-30: 厂商已经确认,细节仅向厂商公开
2015-08-09: 细节向核心白帽子及相关领域专家公开
2015-08-19: 细节向普通白帽子公开
2015-08-29: 细节向实习白帽子公开
2015-09-13: 细节向公众公开

简要描述:

啪啪啪!!!

详细说明:

灵动快车网
http://182.92.234.7/Admin/user/Login 登陆后台设计缺陷 账号处填入admin'or 1=1--
密码任意直接登录后台

QQ截图20150729192109.png


QQ截图20150729192153.png


漏洞证明:

我登陆的时候还源源不断的有预定和订票的信息显示。可见流量很大!
看看昨天和今天的订票信息:

QQ截图20150729192433.png


有2858条,凭借订单号可查询用户具体信息,如图:

QQ截图20150729192753.png


身份证号,真实人名可以查看到。
那么我想知道大概有多少用户量。如图:

QQ截图20150729192949.png


等了大概10多分钟,弹出下载了csv格式文件,打开一看,从2014-11-30 到 2015-07-29就有873814条身份信息。如图:

QQ截图20150729193216.png


那么我是如何确定是与去哪儿合作的呢,我查了某一位客户的订单号,如图:

QQ截图20150729193404.png


其他的操作包括退票,删除订单等!!!

修复方案:

一不小心就被第三方泄露信息了!!!!用户隐私保护很重要!!!!!

版权声明:转载请注明来源 Elliott@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-07-30 16:28

厂商回复:

感谢白帽同学关注去哪儿网安全,这个Ip是代理商的。我们尽快通知代理吧。
现在互联网业务交错繁杂,互相影响、互相调用,而且有些是业务所必要的信息,必须推送;所以就会出现一些短板,而且有些短板补起来比较难。安全就是要所有人都重视,小时候经常听爷爷说的一句话:众人拾柴火焰高。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-07-30 01:10 | 草榴社区 ( 普通白帽子 | Rank:109 漏洞数:26 | 未满18周岁,不准进入.)

    这个描述我也是醉了.去哪儿网员工的二姨的妹夫的女婿开的饭馆的订餐系统后台弱口令,涉及附近西二旗百度的上万员工电话..

  2. 2015-07-30 16:42 | king7 ( 普通白帽子 | Rank:485 漏洞数:2 | 长期1:7回收WB,手续费协商,个位数到三位数...)

    @草榴社区 表哥,你是大陆区代理?求1024注册码

  3. 2015-07-30 17:13 | prolog ( 普通白帽子 | Rank:544 漏洞数:103 | 低调求发展)

    @草榴社区 表哥,你是大陆区代理?求1024注册码

  4. 2015-09-13 17:01 | Mowen ( 路人 | Rank:6 漏洞数:3 | 没个性,不签名!)

    表哥,你是大陆区代理?求1024注册码

  5. 2015-09-13 18:29 | Lar2y ( 路人 | Rank:4 漏洞数:3 | 吃口屎冷静一下)

    @草榴社区 表哥,你是大陆区代理?求1024注册码