旅游业安全之一块去旅行主站存在SQL注入

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0140722

漏洞标题：旅游业安全之一块去旅行主站存在SQL注入

漏洞作者：挖洞翻盘

提交时间：2015-09-15 09:31

修复时间：2015-10-30 09:32

公开时间：2015-10-30 09:32

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-09-15：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-10-30：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

一块去旅行网（Yikuaiqu.com）是国内领先的周边游预订平台，深耕在线旅游行业三年，专注向自驾、城际交通出行的白领和中高端家庭用户提供高品质周边度假、吃喝玩乐等O2O服务。
以目的地落地签约、实地考察、深度设计为旅游产品挑选标准，签约旅游产品超过8000个，主要提供中高端度假酒店、景点门票、新奇玩乐项目及周边餐饮，同时设计策划千余款热卖景酒打包产品。

详细说明：

http://www.yikuaiqu.com/

GET / HTTP/1.1
Cookie: PHPSESSID=atqt57bmt20je9d79simlnrcf7; location={"city":"\u5317\u4eac\u5e02"%2C"cityID":36%2C"province":"\u5317\u4eac\u5e02"%2C"provinceID":2}; session=*; HMACCOUNT=5EB7367F42DA1C79; Hm_lvt_012be03af69d819cbc5f7e4471685a0c=1441970442,1441970958,1441971119,1441972408; Hm_lpvt_012be03af69d819cbc5f7e4471685a0c=1441972408; __utmt=1; __utma=58165410.469412226.1441969295.1441969295.1441969295.1; __utmb=58165410.2.10.1441969295; __utmc=58165410; __utmz=58165410.1441969295.1.1.utmcsr=acunetix-referrer.com|utmccn=(referral)|utmcmd=referral|utmcct=/javascript:domxssExecutionSink(0,"'\"><xsstag>()refdxss"); HMACCOUNT=5EB7367F42DA1C79; history=1; index=1; Hm_lvt_012be03af69d819cbc5f7e4471685a0c=1441970442,1441970958,1441971119,1441972408; Hm_lpvt_012be03af69d819cbc5f7e4471685a0c=1441972408; Hm_lvt_012be03af69d819cbc5f7e4471685a0c=1441970442,1441970958,1441971119,1441972408; Hm_lpvt_012be03af69d819cbc5f7e4471685a0c=1441972408; Hm_lvt_0161c0bcc082cf312deef23af0918efb=1441969794,1441969806,1441969825; Hm_lpvt_0161c0bcc082cf312deef23af0918efb=1441969825; VERSION=2,0,0,0; history=1; BRIDGE_INVITE_0=0; BAIDUID=E48C8F1F9C7BA3DDAC5B764E1E797CE4:FG=1; BAIDUID=E48C8F1F9C7BA3DDAC5B764E1E797CE4:FG=1; BAIDUID=E48C8F1F9C7BA3DDAC5B764E1E797CE4:FG=1; BAIDUID=E48C8F1F9C7BA3DDAC5B764E1E797CE4:FG=1; BAIDUID=E48C8F1F9C7BA3DDAC5B764E1E797CE4:FG=1
X-Requested-With: XMLHttpRequest
Referer: http://www.yikuaiqu.com:80/
Host: www.yikuaiqu.com
Connection: Keep-alive
Accept-Encoding: gzip,deflate
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML, like Gecko) Chrome/41.0.2228.0 Safari/537.21
Accept: */*

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0140722

漏洞标题：旅游业安全之一块去旅行主站存在SQL注入

相关厂商：一块去旅行网

漏洞作者：挖洞翻盘

提交时间：2015-09-15 09:31

修复时间：2015-10-30 09:32

公开时间：2015-10-30 09:32

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源挖洞翻盘@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0140722

漏洞标题：旅游业安全之一块去旅行主站存在SQL注入

相关厂商：一块去旅行网

漏洞作者： 挖洞翻盘

提交时间：2015-09-15 09:31

修复时间：2015-10-30 09:32

公开时间：2015-10-30 09:32

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：15

漏洞状态：未联系到厂商或者厂商积极忽略

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0140722"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 挖洞翻盘@乌云

漏洞回应

厂商回应：

漏洞评价：

评论

漏洞概要关注数(24) 关注此漏洞

漏洞作者：挖洞翻盘

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源挖洞翻盘@乌云