当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0209631

漏洞标题:海航集团旗下免税网站任意号码注册及任意用户登录漏洞

相关厂商:hnagroup.com

漏洞作者: loca1h0st

提交时间:2016-05-17 12:43

修复时间:2016-07-02 11:00

公开时间:2016-07-02 11:00

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-17: 细节已通知厂商并且等待厂商处理中
2016-05-18: 厂商已经确认,细节仅向厂商公开
2016-05-28: 细节向核心白帽子及相关领域专家公开
2016-06-07: 细节向普通白帽子公开
2016-06-17: 细节向实习白帽子公开
2016-07-02: 细节向公众公开

简要描述:

网站地址:www.mianshui365.com/m.mianshui365.com
1.海航集团旗下免税网站任意号码注册及任意用户登录漏洞。
2.订单遍历漏洞
3.手机号码明文泄漏
4.身份证号码加*的逻辑有问题
5.个人资料页面身份证号码、手机号码明文显示
营销活动能不能靠谱点

详细说明:

网站地址:www.mianshui365.com/m.mianshui365.com
手机收到推送消息,免税易购要包机送优惠卷。
一、任意号码注册 进入活动页面发现只要输入手机号码就能注册会员,都不用验证。且发现密码是手机号码的第4-9位,6个数字。
示范: URL:http://m.mianshui365.com/index.php?_a=charter&_c=active&partner_id=51&pid=706&step=2
随便输入一个手机号码,即可注册一个会员领券。 当然这个洞当前看起来没什么卵用就是了。。
step1

1.png


step2

2.png


二、任意号码快速登录+订单中手机号码、身份证号码明文泄漏
本来写这个洞的时候是想说找快捷注册或者找回密码的点的
因为这个网站的短信验证码只有4位数字,很容易爆破,然后突然发现我有了第一步的东西,为什么不直接用一个已有的手机号码,直接快速登录呢?万一可行呢?对吧。
证明: 直接输入一个已有的手机号码(我的),完成领券后进入个人中心查看下
step1:

3.png


step2(直接登录了已有的会员帐号):

4.png


step3(订单查看,身份证号码及手机号码都是明文显示):

5.png


三、订单遍历漏洞
按理说到这一步就结束了,但是看着URL中带着一个明晃晃的orderId,不遍历试一下不爽。 copy所有的数据进工具,遍历下试试先。
这里发现一个问题。。正常的订单页面的身份证号码是加*的。。未验证的订单页面身份证号码是明文的。。
不过问题不大,页面的身份证加*的地方是人的生日区域,这个社工库里匹配下问题不大(如果不是,社工牛请别黑我。。)
1.页面加*的区域

7.png


2.copy访问订单页面的http信息进入工具遍历试试

6.png


3.结果(订单可被遍历)

8.png


这个时候再结合2,则可以进入这个手机号码的账户到第四部。。
四、PC端个人信息页面身份证号码明文显示
这个地方一般是依赖用户自己去填写,但是也算一个小bug吧,毕竟万一填了,然后万一被直接重置密码进入账户了,就万一被泄漏了身份证信息。

9.png

漏洞证明:

见漏洞详情

修复方案:

你们比我懂

版权声明:转载请注明来源 loca1h0st@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:12

确认时间:2016-05-18 10:52

厂商回复:

谢谢,我们会立即安排整改。

最新状态:

暂无