当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0154424

漏洞标题:某旅游网无验证码可利用弱口令爆破用户(用户大量订单等可任意操作+多个部门躺枪)

相关厂商:自我游

漏洞作者: 路人甲

提交时间:2015-11-24 23:11

修复时间:2016-01-11 15:32

公开时间:2016-01-11 15:32

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-11-24: 积极联系厂商并且等待厂商认领中,细节不对外公开
2016-01-11: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

无验证码,可爆破!~~~

详细说明:

网站:
www.zowoyoo.com 商户登录
http://www.zowoyoo.cn/about.html
广州自我游网络科技有限公司致力于旅游营销系统开发,旗下产品“自我游自由行营销系统”,是面向景区、旅行社、酒店、订房中心、旅
游批发商等旅游企业,为其自由行产品营销提供的市场及技术解决方案。通过先进的在线云管理技术,解决旅游企业与供应商、分销商以及
游客之间信息共享和交易,为旅游企业搭建全渠道营销模式。
直接看图吧,影响挺大的吧!~~~

1.jpg


2.jpg


3.jpg


4.jpg


5.jpg


6.jpg


7.jpg


8.jpg


9.jpg


10.jpg


漏洞证明:

如上

修复方案:

加验证!~~~

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝