当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2013-022354

漏洞标题:汉庭优惠券免费无限领取漏洞,刷券咯~

相关厂商:汉庭酒店

漏洞作者: 凡凡~~~~

提交时间:2013-04-23 11:48

修复时间:2013-04-25 15:14

公开时间:2013-04-25 15:14

漏洞类型:账户体系控制不严

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2013-04-23: 细节已通知厂商并且等待厂商处理中
2013-04-23: 厂商已经确认,细节仅向厂商公开
2013-04-25: 厂商提前公开漏洞,细节向公众公开

简要描述:

登陆网站后能够领取免费的优惠券N次

详细说明:

http://www.htinns.com/reg/trip1
登陆之后可以领取优惠券,领取好之后按返回,只要输入一下子密码又能重新提交,又可以获得优惠券。

漏洞证明:

00_meitu_1.jpg


04.png

03.png

02.png

01.png


我会说我已经领了好多优惠券了么。。。。

修复方案:

这个你们更专业

版权声明:转载请注明来源 凡凡~~~~@乌云

漏洞回应

厂商回应:

危害等级:低

漏洞Rank:1

确认时间:2013-04-23 14:04

厂商回复:

感谢白帽的报告提交,该链接是一个正常的市场优惠活动。
1. 这个不算是漏洞,因为优惠券是限定本账户使用:即用户本人本卡使用,因此优惠券在用户账户中无法转增,或者买卖,仅供领取人本人使用。因为用优惠券的使用是必须产生实际入住的,这个之前在活动中是考虑到的。
2. 针对这次外部活动,考虑到有些是活跃会员,为了培养会员的网络预订习惯,虽然写了200元礼包,没有做专门的限制。
3. 针对优惠券领取次数之前都设定过,这次我们想看一下不设定是否会对间夜贡献量有大的提升。但目前看从外部平台线上扫码效果不理想,可以做限定处理。
4. 以后优惠券设定限用几套还是电商部按照活动情况灵活配置。
感谢对华住集团的关注,还是给1分吧。

最新状态:

2013-04-25:非漏洞。