破壳企业应急安全(防御方向)课程 应急响应 勒索病毒 挖矿木马 DDOS 日志分析

如家酒店IT运营系统员工信息泄露(可进入后台)

编号76975
Urlhttp://www.wooyun.org/bug.php?action=view&id=76975
漏洞状态厂商已经确认
漏洞标题如家酒店IT运营系统员工信息泄露(可进入后台)
漏洞类型
厂商如家酒店集团
白帽子上缮若水
提交日期2014-09-22 17:34:00
公开日期2014-11-06 17:36:00
修复时间(not set)
确认时间2014-09-25 00:00:00
Confirm Spend3
漏洞标签用户敏感信息泄漏 如家开房数据再次泄露
关注数0
收藏数0
白帽评级
白帽自评rank10
厂商评级
厂商评rank5
漏洞简介
如家酒店IT运营系统员工信息泄露(可进入后台)
漏洞细节

如家酒店IT运营系统员工信息泄露(可进入后台)

POC

3.png

后台传送门:http://it.homeinns.com/ito_beta/Main/Login.aspx
admin /admin99
员工信息:http://it.homeinns.com/ito_beta/Event/UserInfo.aspx

2.png

修复方案

3.png

状态信息 2014-09-22: 细节已通知厂商并且等待厂商处理中
2014-09-25: 厂商已经确认,细节仅向厂商公开
2014-10-05: 细节向核心白帽子及相关领域专家公开
2014-10-15: 细节向普通白帽子公开
2014-10-25: 细节向实习白帽子公开
2014-11-06: 细节向公众公开
厂商回复十分感谢关注!
回应信息危害等级:中漏洞Rank:5 确认时间:2014-09-25 11:44
Showing 1-6 of 6 items.
评论内容评论人点赞数评论时间

这个系统还是有……弱口令啊

wefgod02014-10-17 15:00:00

和360的哪个早一点

Martial02014-09-22 23:01:00

洞主,你是有多爱7天!审核人员修改下。@xsser

专业种田02014-09-22 22:50:00

少侠 搞错啦

玉林嘎02014-09-22 21:39:00

@24jason 7天是属于如家的吧?

宝宝02014-09-22 18:05:00

为神马标题写个如家,厂商选个7天。洞主是对7天情不自禁么。。。

24jason02014-09-22 17:38:00