当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-099909

漏洞标题:携程主站存在缺陷导致无限撞库攻击(验证码设计缺陷)

相关厂商:携程旅行网

漏洞作者: 黑暗游侠

提交时间:2015-03-07 11:31

修复时间:2015-04-26 11:44

公开时间:2015-04-26 11:44

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-03-07: 该漏洞正等待厂商内部评估
2015-03-07: 厂商已经确认,与白帽子共同解决该漏洞中,漏洞信息仅向厂商公开
2015-03-27: 细节向核心白帽子及相关领域专家公开
2015-04-06: 细节向普通白帽子公开
2015-04-16: 细节向实习白帽子公开
2015-04-26: 细节向公众公开

简要描述:

csrc大法好,万能的csrc,一定要加特技。

详细说明:

主站手机登陆页面:
http://me.ctrip.com/hotel/myCtrip/login.html

2.png


加了验证码,看起来一切都很合理,无法进行duang了,基于图像去识别验证码是很庞大复杂的一个过程。
所以这真的要靠平实积累的经验和对安全的细节掌握了
我无话可说了,因为真的无语了,看图吧,携程竟然出现了如此低级的错误。。。。

3.png


那么,无限duang吧,主站不再是梦想

漏洞证明:

主站手机登陆页面:
http://me.ctrip.com/hotel/myCtrip/login.html

2.png


加了验证码,看起来一切都很合理,无法进行duang了,基于图像去识别验证码是很庞大复杂的一个过程。
所以这真的要靠平实积累的经验和对安全的细节掌握了
我无话可说了,因为真的无语了,看图吧,携程竟然出现了如此低级的错误。。。。

3.png


那么,无限duang吧,主站不再是梦想

修复方案:

特技加特技

版权声明:转载请注明来源 黑暗游侠@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2015-03-07 11:43

厂商回复:

漏洞已确认真实存在,并已安排人处理。
十分感谢

最新状态:

暂无