当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099832

漏洞标题:住哪网某订单日志泄漏(影响部分订单支付金额等信息)

相关厂商:住哪网

漏洞作者: 路人甲

提交时间:2015-03-06 13:42

修复时间:2015-04-20 14:22

公开时间:2015-04-20 14:22

漏洞类型:敏感信息泄露

危害等级:中

自评Rank:10

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-06: 细节已通知厂商并且等待厂商处理中
2015-03-06: 厂商已经确认,细节仅向厂商公开
2015-03-16: 细节向核心白帽子及相关领域专家公开
2015-03-26: 细节向普通白帽子公开
2015-04-05: 细节向实习白帽子公开
2015-04-20: 细节向公众公开

简要描述:

详细说明:

http://dujia.zhuna.cn/log.txt


执行日期:20150227160946
responseTxt=false
 notify_url_log:isSign=false,discount=0.00&payment_type=1&subject=杭州第一世界大酒店高级房2天1晚+双早+云曼温泉2张&trade_no=2014112738950417&buyer_email=ganlei1984_1984@sina.com&gmt_create=2014-11-27 15:39:41&notify_type=trade_status_sync&quantity=1&out_trade_no=be6ee8ca7d9d20e6ef2db2f3f27d2e09&seller_id=2088011592098304&notify_time=2015-02-27 16:09:57&body=酒店位于杭州湘湖畔,酒店地理位置优越;云曼温泉以和式的建筑风格,还原了泡汤文化的精髓,让您尽享养生与休闲的完美体验。&trade_status=TRADE_FINISHED&is_total_fee_adjust=N&total_fee=911.00&gmt_payment=2014-11-27 15:41:36&seller_email=zhifu@watu.cn&gmt_close=2015-02-26 15:45:14&price=911.00&buyer_id=2088102994790173&notify_id=96cacac9a388e08a87988950307924e82y&use_coupon=N&sign_type=MD5&sign=71f8d58257fb485d48b4785b1f32f3c4


漏洞证明:

ganlei1984_1984@sina.com 这应该是用户的吧
zhifu@watu.cn支付?

log.png


修复方案:

版权声明:转载请注明来源 路人甲@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-06 14:12

厂商回复:

非常感谢您的反馈,相关问题已转交技术处理。

最新状态:

暂无

漏洞评价:

评论