记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

如家某逻辑漏洞可导致任意账户登入(非暴力)

2014-07-28 09:30

会员登陆站点https://login.homeinns.com

逻辑验证问题,当输入用户名:'x 密码x的时候即可成功登录,多次尝试可进入不同的账户



目测有注入,就不继续玩蛋了,洗洗睡觉了,明天还的去搬砖。



不少的金卡用户和积分、用户敏感信息(如身份证、手机号码、QQ邮箱等),可精确定位,精确打击。。。



1.png



2.png



3.png



4.png





http://www.homeinns.com/Test 都被大牛黑了啊 亲 还有你旗下的莫泰那些子站都挂满了。。招个搞安全的好好整整

漏洞证明:

1.png



2.png



3.png



4.png

修复方案:

审查下登录验证逻辑。住在如家要让我们放心啊。

知识来源: www.wooyun.org/bugs/wooyun-2014-064743

阅读:77972 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“如家某逻辑漏洞可导致任意账户登入(非暴力)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词