当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0136961

漏洞标题:鹰漠旅行酒店预定APP配置不当(导致八大连锁酒店开房信息泄露)

相关厂商:鹰漠旅行

漏洞作者: 路人甲

提交时间:2015-08-26 01:09

修复时间:2015-10-10 01:10

公开时间:2015-10-10 01:10

漏洞类型:应用配置错误

危害等级:中

自评Rank:8

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-08-26: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-10-10: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

官网介绍是这样:
鹰漠旅行,为酒店常旅客提供更好的选择,无缝链接八大连锁酒店集团会员卡系统,积分、优惠券实时同步!

详细说明:

http://www.innmall.cn/api/logs/


配置不当导致日志泄露,包括订单中的姓名、手机、分店,还看到有密码。
隔一会刷新日志都会不一样,看日期都是新的。

鹰漠app1.png


从图中可以看出,这是格林豪泰的会员中心

鹰漠app3.png


这里是如家的接口信息

鹰漠app6.png

漏洞证明:

这个汉庭酒店的

鹰漠app4.png


我们把其中一个密码来登录汉庭酒店

鹰漠app5.png

修复方案:

权限控制,这个APP真厉害,能和这么多酒店会员打通!
那会员是有多少个亿啊。

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞Rank:8 (WooYun评价)


漏洞评价:

评论

  1. 2015-08-26 10:39 | 专业种田 认证白帽子 ( 核心白帽子 | Rank:1425 漏洞数:182 | 没有最专业的农民,只有更努力地耕耘..........)

    这样八大酒店知道吗

  2. 2015-08-26 12:33 | 沦沦 ( 普通白帽子 | Rank:518 漏洞数:132 | 爱老婆,爱生活)

    66666

  3. 2015-08-27 09:42 | fym ( 实习白帽子 | Rank:35 漏洞数:2 | 关注安全)

    太牛B了,这个信息被脱下来,得死多少人

  4. 2015-08-27 10:45 | Snow陈伦 ( 路人 | Rank:6 漏洞数:2 | 闷骚的家伙,何处都是你的战场。)

    最新新闻:据某90女生举报,1982年出身的保安男子利用离婚事件换取90后女生同情心进行手机诱骗开房,1年内达全国开房90多次,之后偷走对方贵重物品逃离,我村的小刘就是受害者,求大牛开房信息。