中國港中旅集團公司旗下某站设计缺陷导致可暴力破解（泄露大量订单、客户、财务数据） | wooyun-2015-0150472

漏洞概要关注数(24) 关注此漏洞

缺陷编号：

wooyun-2015-0150472

漏洞标题：

中國港中旅集團公司旗下某站设计缺陷导致可暴力破解（泄露大量订单、客户、财务数据）

漏洞详情

披露状态：

2015-10-30：细节已通知厂商并且等待厂商处理中
2015-11-04：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

中國港中旅集團公司旗下某站设计缺陷导致可暴力破解，可登录多个系统，泄露大量订单、客户、财务数据；

详细说明：

漏洞地址：http://star.ctsho.com/platform/logout.action 星旅旅行社业务管理平台
验证码设计缺陷导致扫描用户弱口令，已成功破解如下用户的口令，可登录多个系统；
涉及的系统包括：入境地接系统、地接系统、组团系统、销售系统

1018	limin	        111111	       200	false	false	2530	
1231	zhaojing	111111	       200	false	false	2530	
105	zhanghui	123456	       200	false	false	2531	
243	zhangliang	123456	       200	false	false	2531	
141	wangjian	123456	       200	false	false	2531		
458	chenlin	        123456	       200	false	false	2531	
1045	zhangqiang	111111	       200	false	false	2531	
1202	lihongmei	111111	       200	false	false	2531	
239	zhanghui	123456	       200	false	false	2531	
2852	zhangjing	1234abcd       200	false	false	2531		
103	zhangping	123456	       200	false	false	2537	
68	liujing	        123456	       200	false	false	2537	
359	lilong	        123456	       200	false	false	2537	
164	zhangping	123456	       200	false	false	2537	
271	yangfang	123456	       200	false	false	2541	
307	wangtingting	123456	       200	false	false	2541	
276	chenchen	123456	       200	false	false	2541	
1298	zhanghongmei	111111	       200	false	false	2541	
1314	chenxia	        111111	       200	false	false	2541