如家某店用户资料泄露后台可操作

admin

144121
文章

118
评论

2015年6月4日07:59:54评论331 views字数 240阅读0分48秒阅读模式

摘要

2014-08-31：细节已通知厂商并且等待厂商处理中
2014-08-31：厂商已查看当前漏洞内容,细节仅向厂商公开
2014-09-05：厂商已经主动忽略漏洞，细节向公众公开

漏洞概要关注数(5) 关注此漏洞

缺陷编号： WooYun-2014-74472

漏洞标题：如家某店用户资料泄露后台可操作

漏洞作者： SLAckEr

提交时间： 2014-08-31 00:05

公开时间： 2014-09-05 00:06

漏洞类型：用户资料大量泄漏

危害等级：高

自评Rank： 15

漏洞状态：漏洞已经通知厂商但是厂商忽略漏洞

漏洞来源：www.wooyun.org ，如有疑问或需要帮助请联系

Tags标签：用户敏感信息泄漏用户敏感数据泄漏住址身份证姓名等敏感信息

0人收藏

漏洞详情

披露状态：

简要描述：

如家某店用户资料泄露，后台可操作。退房啊，身份证啊，密码啊啥啥的。

详细说明：

如家东便门店（北京站那边的）

之前是因为服务的哥们告诉我wifi的密码是身份证号。

结果我还登不上去，是web认证的，连接上wifi就分配了地址。

分配完地址，我就扫了一下，扫到了一个后台，是默认的admin admin，吊吧？

然后就各种信息泄露了

所有入住的人的身份证号，密码。还有可以进行退房的操作。。。

漏洞证明：

看上面

只是进行了测试，并未进行脱裤等违法行为。

修复方案：

你晓得

版权声明：转载请注明来源 SLAckEr@乌云

漏洞回应

厂商回应：

危害等级：无影响厂商忽略

忽略时间：2014-09-05 00:06

厂商回复：

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

漏洞评价(共0人评价):

登陆后才能进行评分

评价

2014-09-05 09:26 | 专业种田 ( 核心白帽子 | Rank:1676 漏洞数:213 | 没有最专业的农民,只有更努力地耕耘..........)

1

这个能脱裤吗?当然没有违法行为了。

1# 回复此人
2014-09-05 10:46 | 银冥币 ( 实习白帽子 | Rank:65 漏洞数:25 | test" src="/upload/avatar/avatar_251_b.j...)

1

@专业种田能,写个程序分分钟脱...

2# 回复此人
2014-09-05 10:54 | 专业种田 ( 核心白帽子 | Rank:1676 漏洞数:213 | 没有最专业的农民,只有更努力地耕耘..........)

1

@银冥币那这个程序是应该是通用的，很多分店都有可能这个密码。

3# 回复此人
2014-09-05 11:00 | 银冥币 ( 实习白帽子 | Rank:65 漏洞数:25 | test" src="/upload/avatar/avatar_251_b.j...)

1

@专业种田脆弱的内网

4# 回复此人

漏洞概要 关注数(5) 关注此漏洞

缺陷编号： WooYun-2014-74472

漏洞标题： 如家某店用户资料泄露后台可操作

相关厂商： 如家酒店集团