记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

携程网订某接口数据遍历漏洞可获得携程订单信息

2014-10-22 21:55

该系统为携程网,分销系统,分销账号可以通过商务合作处获得。



获得账号后,可通过该URL,获得携程订单信息。



https://obooking.ctrip.com/oBooking/Order/Hotel/ViewOrder.asp?OrderID={携程订单号}



可查看订单信息,且可以取消订单。

漏洞证明:



QQ截图20140902115909.png





QQ截图20140902115949.png

修复方案:

验证用户名,控制单用户只能查看当前用户订单。

知识来源: www.wooyun.org/bugs/wooyun-2014-074745

阅读:143651 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“携程网订某接口数据遍历漏洞可获得携程订单信息”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

学习黑客技术,传播黑客文化

推广

工具

标签云