携程某接口设计缺陷可进行扫号（可获取大量账号密码）
接口限制总有遗漏，涉及用户数据，提交！
问题接口出现在携程触屏版登陆
/html5/Account/Login.html
经简单测试发现登陆没有错误次数限制，也不会弹出验证码。
于是随便输入用户名，密码。登陆时抓包进行fuzz
POST /html5/Account/LoginValidation HTTP/1.1
Proxy-Connection: keep-alive
Content-Length: 292
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (iP CPU OS 5_1 like Mac OS X; en-us) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9B176 Safari/
Content-Type: application/x-www-form- charset=UTF-8
Referer: /html5/Account/Login.html
Accept-Encoding: gzip,deflate
Accept-Language: zh-CN
UID=&admin&&Password=2ec5ede8da203fa1a2851921cbb7b2cd27bdf4a0ab9fe430fe25eff71a08b84cb9eaa483ec14cabb74ff7d1b6853bafaf9b09c376a462fa3c8a582e752b2fcff9dcdf3af080558daea8fd973afd92b4b42e2cc3b83cc315d138&IsRemember=false
可以看到密码是经过的。
我就以密码不变，随便找个最简单的弱口令123456来进行测试
测试一部分邮箱账号。
返回包402的为密码错误，大于402的都是可以登陆的
综上所述，密码可以变换其他的来进行测试。
在大数据时代，基于之前泄露的各种用户数据进行测试，影响用户数量还是很可观的.
修复方案：
对触屏版登陆接口进行登陆次数限制。
加入验证码进行限制。
您对本文章有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力&&
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。&&&自助服务&&&在线申诉自助&&&人工重置密码
账号及密码自助
账号安全自助
密保卡自助
在线申诉自助
申请服务：
人工重置密码
*空中网账号：
*最近玩的游戏：
龙翼编年史
像素骑士团
新功夫世界
功夫英雄―星垂
龙女传说-(龙)
*希望绑定的安全邮箱：
*身份证号码：
*身份证正面：
*身份证反面：
我同意在我提交信息与注册信息有误的情况下官方对我的账号进行封停7天的处理
尊敬的用户：
您的账号申诉资料已经提交成功，我们会尽快审核您所提交的账号信息，请勿重复提交。
请您耐心等待，我们处理完以后，会使用您填写的联系方式给您反馈相关信息。
如您没有收到反馈信息或有其他密保方面的问题，您可以拨打密保专线电话：021-，我们会竭诚为您服务。
空中网客服中心
请输入正确的空中网账号
请上传您的身份证图片，需为小于2M 的jpg、png或bmp格式的图片
您的账号未绑定密保卡，无需进行解绑操作
一天内同一账号，同一申诉只能提交1次。&&&&&&&&&&&&&&&&&&&&&&&&&&&&新骗术：苹果手机显示输入账号密码 输完就被锁
来源：综合
作者：杭州日报
 李姑娘输入账号和密码后，手机就变成这样了
　　骗子新动向
　　这种敲诈手法，在杭州可能还是首例
　　记者 郑亿 通讯员 凤素芳
　　昨天，家住城西的李姑娘拿着自己的iPhone6刷微信朋友圈时，遇到一桩怪事――
　　“刷着刷着，手机界面似乎突然就跳转了，跳到一个类似App STORE的地方，看着还是蛮正规的页面。页面上写着一句话，大意是你的iPhone已经丢失并被抹掉，请重新登录激活，下方是两栏空格，意思叫你填入你的苹果ID跟密码。”
　　李姑娘还当是偶然的手机故障，也没多想，就把自己的ID密码全部输入。点击确定后，手机屏幕一黑，变成了苹果logo，下面一个进度条正在读取。
　　李姑娘见这场面跟平时系统更新的情况也差不多，没多加理会。
　　进度条很快读完，接下来才真正让人傻眼。
　　“屏幕只剩最上面一条显示时钟和电量，屏幕正中间显示一句话，说&此iPhone已丢失，请与我联系&，后面是个手机号。”
　　李姑娘惊呆了，赶紧把手机反复重启了几次，每次都是这个结果。无奈之下，她只好用朋友的手机，给上面的手机号发了短信。对方的回复又简短又气人：“1000（元）解锁”。
　　愤怒的李姑娘马上到蒋村派出所报了案。
　　“用这种手法搞敲诈勒索的，在杭州很可能还是第一次出现。”受理民警说，“这类犯罪分子，简单说就是想方设法弄到你的苹果账号和密码，然后就远程锁住你的手机，再敲诈你钱财。对他们来说，弄到你的账号、密码是第一步，也是最难、最关键的一步。”
　　民警判断，李姑娘这个案子里，对方应该是用了木马，在她输入关键信息后，第一时间就把信息回传，然后动手把姑娘的手机锁住。至于这个木马是什么时候植入姑娘手机的，或者说姑娘的手机是怎么进入这个骗取账号密码的页面的，李姑娘事发前毫无知觉，完全不清楚。
　　民警说，重庆、广西等地，去年起就陆续发生过同类案件，事主使用的也全部是苹果手机。但被盗取账号、密码的过程都不尽相同，除了疑似中木马的情况，也有不少是曾经刷过机的用户，毫无征兆地就被锁机、勒索。
　　为此警方特别提醒，手机应尽量避免使用陌生的无线网络，手机最好不要越狱（部分专搞手机越狱的人，本身就是盗号团伙成员），看到不明不白的链接，千万不要乱点。无论何时何地，遇到要输入自己的苹果ID和密码的，务必小心！
(责任编辑：UN654)
&&&&&&</div
爆炸点距居民楼距离有更严格的测算方法[]
数字之道：
搜狐民调：
社区热帖推荐
波兰宅男终于实现梦想……[]
客服热线：86-10-
客服邮箱：}