当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0150472

漏洞标题:中國港中旅集團公司旗下某站设计缺陷导致可暴力破解(泄露大量订单、客户、财务数据)

相关厂商:ctsho.com

漏洞作者: 路人甲

提交时间:2015-10-30 21:58

修复时间:2015-11-04 22:00

公开时间:2015-11-04 22:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-10-30: 细节已通知厂商并且等待厂商处理中
2015-11-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

中國港中旅集團公司旗下某站设计缺陷导致可暴力破解,可登录多个系统,泄露大量订单、客户、财务数据;

详细说明:

漏洞地址:http://star.ctsho.com/platform/logout.action 星旅旅行社业务管理平台
验证码设计缺陷导致扫描用户弱口令,已成功破解如下用户的口令,可登录多个系统;
涉及的系统包括:入境地接系统、地接系统、组团系统、销售系统

QQ图片20151029211635.jpg


1018	limin	        111111	       200	false	false	2530	
1231 zhaojing 111111 200 false false 2530
105 zhanghui 123456 200 false false 2531
243 zhangliang 123456 200 false false 2531
141 wangjian 123456 200 false false 2531
458 chenlin 123456 200 false false 2531
1045 zhangqiang 111111 200 false false 2531
1202 lihongmei 111111 200 false false 2531
239 zhanghui 123456 200 false false 2531
2852 zhangjing 1234abcd 200 false false 2531
103 zhangping 123456 200 false false 2537
68 liujing 123456 200 false false 2537
359 lilong 123456 200 false false 2537
164 zhangping 123456 200 false false 2537
271 yangfang 123456 200 false false 2541
307 wangtingting 123456 200 false false 2541
276 chenchen 123456 200 false false 2541
1298 zhanghongmei 111111 200 false false 2541
1314 chenxia 111111 200 false false 2541


组团系统

QQ图片20151029212043.png


QQ图片20151029212128.png


QQ图片20151029212153.png


QQ图片20151029212231.png


QQ图片20151029212338.png


QQ图片20151029212404.png


QQ图片20151029212443.png


QQ图片20151029212527.png


QQ图片20151029212612.png


漏洞证明:

QQ图片20151029213126.png


QQ图片20151029213407.jpg


QQ图片20151029214436.png


QQ图片20151029221251.png

QQ图片20151029221333.png

修复方案:

你们更懂!

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:无影响厂商忽略

忽略时间:2015-11-04 22:00

厂商回复:

漏洞Rank:15 (WooYun评价)

最新状态:

暂无