记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

某软件系统漏洞导致多个小网站机票预定信息泄露

2015-07-08 03:35

多个小型订票网站机票预定信息泄露

偶然发现一个小网站机票预定信息可以遍历

http://www.htair.net/ticket/flights/order_viewedit.asp?order_id=20120724114110

而订单的id规律为年月日时分秒,即可遍历该网站所有订单。

又,发现网站的技术支持为

技术支持:易扬科技
 

1.PNG



使用这套系统并且可通过上述方法遍历 列举一部分:

注:以下某些网站我没有全部扫描,不一定存在订单泄露问题,但是,如果使用了这套系统

并且产生了订单,就可以遍历出来。
 


http://www.htair.net/ticket/flights/order_viewedit.asp?order_id=20120724114110
http://www.gzzyhk.com/
http://www.gobooking.cn/newquery/admin-manager/gnTicketManager/order_viewedit.asp?order_id=20100121143350
http://www.bjhxjipiao.com
http://82750000.com/
http://www.antai1688.com
http://jp-053282723000.com/
http://www.qdfh-air.com
http://www.gzhuaju.net
http://www.83885886.cn
http://www.js-air.com/
http://www.jq166.com
http://www.4006222886.com
http://www.osenair.com/

以下存在泄露:
 

2.PNG


 

3.PNG


 

4.PNG





我没有遍历订单,仅验证的:
 

5.PNG


 

解决方案:

过滤

知识来源: www.2cto.com/Article/201507/415302.html

阅读:91860 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“某软件系统漏洞导致多个小网站机票预定信息泄露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云