HanDs
管理员

[7月漏洞公开] 华住酒店某处可快速撞库 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

RT

详细说明:

mgm.huazhu.com登录没有验证码,通过GET不安全的登录方式

华住2100.1.png



code 区域
GET //AuthService/CheckPAccount?callback=jQuery21307776533881281722_1464239949918&Account=1585****518&password=zm****114&guid=11&openid=&_=1464239949919 HTTP/1.1
Host: mgm.huazhu.com



虽然请求频繁会有提示,但只是密码错的时候,密码对了还是可以登录成功,所以不会影响撞库

华住2103.png



拿了点网上泄露的手机号+密码的库子样本测试,5分钟内成功几十个,而且多个为金卡会员。

华住2100.2.png

漏洞证明:

华住2104.png

华住2105.png

华住2101.png

修复方案:

添加验证码每个登录口都要呀,不只是主站。


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
华住 酒店 某处 快速
#1楼
发帖时间:2016-7-14   |   查看数:0   |   回复数:0
游客组
快速回复