WooYun.org

和你们说过的，不作为是个很严重的问题，研发说什么就什么，这叫被研发吊打，安全说什么就什么，这叫安全吊打研发~
漏洞流程如下
1.找到一个酒店红包入口
http://dynamic.m.tuniu.com/event/lottery/opeLottery/lotteryAndSendAjax?tel=18605050505&actId=100&mark=jdwxhb&offCode=&type=1&one=1
tel写一个手机号即可，返回值里面包含了cookie的唯一值muser

2.这边领取的红包为酒店任意减少十块钱，在淘宝做黑产的很喜欢这种活动

类似这种红包网上有很多黄牛售卖

3.在消费登录的时候使用之前注册批量领取的红包用户muser就可以消费掉此红包（这是回答你们说不能消费的问题）

这边替换掉cookie可以登录上不是自己手机号的用户

默认下单的手机号是别人手机号

然后使用M站来测试下酒店的单
替换之后消费掉这个红包