记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

南航部分会员信息可任意遍历

2014-11-04 16:10

1、前些天注册南航换了点里程,然后发现这么个页面http://skypearl.csair.com/skypearl/cn/toPrintCard.action?memberNo=3139105509XX(匿了)

会员卡号直接显示,这不科学~这个卡号是固定格式:"3"+手机号

2014-09-20 14 13 48_2345看图王.jpg





2、然后结合找回密码http://skypearl.csair.com/skypearl/cn/getAccountPassword.action?&NOSSL 这个页面找了点已注册的会员号

2014-09-20 14 13 13_2345看图王.jpg





3、burp结果显示,根据返回长短一试,就是下面这样了

2014-09-20 14 09 44_2345看图王.jpg





显示的内容有会员姓名 卡号(也就是手机号),信息不多,但对于有心人已经足够~~~但不知为何发卡日期都是14/09,不解。

漏洞证明:

2014-09-20 14 09 44_2345看图王.jpg

打码很糟糕不过懒了~~

修复方案:

你们来~

知识来源: www.wooyun.org/bugs/wooyun-2014-076724

阅读:99543 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“南航部分会员信息可任意遍历”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云