简要描述：

对保存在客户端的用户认证信息使用和处理存在问题。其他如xss 问题很容易引起认证体系崩溃。尤其是涉及到订单等金钱交易。
详细说明：

qunar.com 的认证体系核心是基于qvt 三项cookie，而这三项cookie虽然会变化，但是，服务器端只是使用了一个算法去验证数据的正确性，而没有验证cookie的时效性，所以，如一个攻击者通过xss 获取其他用户的cookie，那攻击者就可以使用这个cookie 顶替受害者做任何操作。而并不需要使用受害者的密码及账户等信息。并且，只要认证体系不改，这个cookie就永久有效，即使受害者修改了密码也无济于事。而找个xss，这个太容易了吧，
漏洞证明：

burp，直接拿自己的已经注销登录的cookie放进去试试就知道了。
修复方案：

改吧，别以为攻击用户只是攻击用户名和密码！
作者unic02n@乌云