7天快捷酒店网站系统安全隐患严重,泄露隐私还可能被盗号发帖!!!
号称全国规模最大的上市快捷酒店——7天快捷酒店,网站系统存在非常严重的安全隐患。在同一个浏览器下,第一个人正常退出系统,第二个人可以查看第一个人的个人资产、开房记录(包括一起开房人姓名)、联系电话、电子优惠劵、积分等等信息。最可怕的是,第二个人正常登陆以后,在7天论坛去竟然显示的是第一个人的账户,也就是说,第二个人可以用第一个人名义发表任何言论!!!这个问题已经反映给7天3个月了,7天一直不处理也不给说法。
对于这种没有责任感,安全意识淡薄的企业,大家给予更多的鄙视吧。
复现漏洞具体操作:
准备2个7天账号,最好是有一个有开房记录的。
第一个账户正常登陆,并且查看自己的所有信息是否正确。并且到论坛区,确认自己没有发表过“测试安全漏洞”帖子。然后点论坛区右上角的“退出”按钮。在“退出”变成“登陆”字样后确定自己已经成功的正常退出。这时候第二个人,点“我的7天”,你将会发现,第一个人的所有“订单管理(开房记录)、常用联系人、个人信息(联系电话等)、储值、积分、电子优惠劵、返现卷”涉及隐私的信息都可以看到。第一个人重新登录一次以后(论坛区需要重新登录一次),在“我的7天”界面的右上角点“退出”,弹出“重新登录”,在这里输入第二个人的账户密码,登录第二个人账户以后,在“7天会”论坛区,你会发现出现的是第一个人的账户名称,这时候你发个“测试安全漏洞”的帖子。你会发现,是第一个人的名义发出的。
试想,第二个人如果发的是反动言论,中枪的岂不是第一个人?
7天住房很多人是在7天前台的电脑上直接登录订房的(网上订房有积分,前台、电话、短信订房没有积分),也就是说很多人会使用同一个浏览器。危险呀。危险
https://www.chachapeizi.com/?gszx_13/
页:
[1]