神刀安全网

漏洞标题: 业务安全途牛任意用户注册可领取红包并消费

漏洞详情

披露状态:

2016-01-29: 细节已通知厂商并且等待厂商处理中
2016-01-29: 厂商已经确认,细节仅向厂商公开
2016-02-08: 细节向核心白帽子及相关领域专家公开
2016-02-18: 细节向普通白帽子公开
2016-02-28: 细节向实习白帽子公开
2016-03-14: 细节向公众公开

简要描述:

不爽你们的安全态度~

详细说明:

和你们说过的,不作为是个很严重的问题,研发说什么就什么,这叫被研发吊打,安全说什么就什么,这叫安全吊打研发~

漏洞流程如下

1.找到一个酒店红包入口

http://dynamic.m.tuniu.com/event/lottery/opeLottery/lotteryAndSendAjax?tel=18605050505&actId=100&mark=jdwxhb&offCode=&type=1&one=1

tel写一个手机号即可,返回值里面包含了cookie的唯一值muser

漏洞标题:  业务安全途牛任意用户注册可领取红包并消费

2.这边领取的红包为酒店任意减少十块钱,在淘宝做黑产的很喜欢这种活动

漏洞标题:  业务安全途牛任意用户注册可领取红包并消费

类似这种红包网上有很多黄牛售卖

漏洞标题:  业务安全途牛任意用户注册可领取红包并消费

3.在消费登录的时候使用之前注册批量领取的红包用户muser就可以消费掉此红包(这是回答你们说不能消费的问题)

漏洞标题:  业务安全途牛任意用户注册可领取红包并消费

这边替换掉cookie可以登录上不是自己手机号的用户

漏洞标题:  业务安全途牛任意用户注册可领取红包并消费

默认下单的手机号是别人手机号

漏洞标题:  业务安全途牛任意用户注册可领取红包并消费

然后使用M站来测试下酒店的单

替换之后消费掉这个红包

漏洞标题:  业务安全途牛任意用户注册可领取红包并消费

漏洞标题:  业务安全途牛任意用户注册可领取红包并消费

漏洞证明:

只是想回复一下你们说的不可以消费~消费方法有很多,不一定是要手机验证码,最根本的问题是怎么可能返回未注册过途牛用户的muser值呢?这和泄露用户密码有什么区别?

修复方案:

老谭更专业~

版权声明:转载请注明来源 疯子@乌云

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 漏洞标题: 业务安全途牛任意用户注册可领取红包并消费

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮