漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-022354
漏洞标题:汉庭优惠券免费无限领取漏洞,刷券咯~
相关厂商:汉庭酒店
漏洞作者: 凡凡~~~~
提交时间:2013-04-23 11:48
修复时间:2013-04-25 15:14
公开时间:2013-04-25 15:14
漏洞类型:账户体系控制不严
危害等级:低
自评Rank:3
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-04-23: 细节已通知厂商并且等待厂商处理中
2013-04-23: 厂商已经确认,细节仅向厂商公开
2013-04-25: 厂商提前公开漏洞,细节向公众公开
简要描述:
登陆网站后能够领取免费的优惠券N次
详细说明:
http://www.htinns.com/reg/trip1
登陆之后可以领取优惠券,领取好之后按返回,只要输入一下子密码又能重新提交,又可以获得优惠券。
漏洞证明:
修复方案:
这个你们更专业
版权声明:转载请注明来源 凡凡~~~~@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:1
确认时间:2013-04-23 14:04
厂商回复:
感谢白帽的报告提交,该链接是一个正常的市场优惠活动。
1. 这个不算是漏洞,因为优惠券是限定本账户使用:即用户本人本卡使用,因此优惠券在用户账户中无法转增,或者买卖,仅供领取人本人使用。因为用优惠券的使用是必须产生实际入住的,这个之前在活动中是考虑到的。
2. 针对这次外部活动,考虑到有些是活跃会员,为了培养会员的网络预订习惯,虽然写了200元礼包,没有做专门的限制。
3. 针对优惠券领取次数之前都设定过,这次我们想看一下不设定是否会对间夜贡献量有大的提升。但目前看从外部平台线上扫码效果不理想,可以做限定处理。
4. 以后优惠券设定限用几套还是电商部按照活动情况灵活配置。
感谢对华住集团的关注,还是给1分吧。
最新状态:
2013-04-25:非漏洞。