• 最新论文
  • 《左传》中公主少姜的名字是怎么来的?少姜为何香消玉殒? 2018丝路春晚全明星阵容曝光,看那些记忆中的“传奇”集体现身 我国高速磁悬浮列车研究取得突破性进展 中国高校基金合作新高度,北大教育基金会战略投资蓝图创投1亿元 携程隐私门带来的启示:这些地方易出信息漏洞 老爸洪金宝出声 洪天明有意在追生女儿 2018丝路春晚全明星阵容曝光,看那些记忆中的“传奇”集体现身 《左传》中公主少姜的名字是怎么来的?少姜为何香消玉殒? 《左传》中公主少姜的名字是怎么来的?少姜为何香消玉殒? 2019年“中国品牌奥斯卡”揭晓 ,苏宁评为零售行业品牌NO.1 最有趣的减肥方法 掌握9招让你瘦不停 最有趣的减肥方法 掌握9招让你瘦不停 2018丝路春晚全明星阵容曝光,看那些记忆中的“传奇”集体现身
  • 推荐论文
  • 《左传》中公主少姜的名字是怎么来的?少姜为何香消玉殒? 2018丝路春晚全明星阵容曝光,看那些记忆中的“传奇”集体现身 我国高速磁悬浮列车研究取得突破性进展 中国高校基金合作新高度,北大教育基金会战略投资蓝图创投1亿元 携程隐私门带来的启示:这些地方易出信息漏洞 老爸洪金宝出声 洪天明有意在追生女儿 2018丝路春晚全明星阵容曝光,看那些记忆中的“传奇”集体现身 《左传》中公主少姜的名字是怎么来的?少姜为何香消玉殒? 《左传》中公主少姜的名字是怎么来的?少姜为何香消玉殒? 2019年“中国品牌奥斯卡”揭晓 ,苏宁评为零售行业品牌NO.1 最有趣的减肥方法 掌握9招让你瘦不停 最有趣的减肥方法 掌握9招让你瘦不停 2018丝路春晚全明星阵容曝光,看那些记忆中的“传奇”集体现身
  • 热门标签
  • 日期归档
  • 携程隐私门带来的启示:这些地方易出信息漏洞

    来源:www.cecemca.com 发布时间:2020-01-11

    漏洞报告平台乌云网(Dark Cloud Network)近日连续披露了携程的两个安全漏洞,称携程的安全支付日志可以任意读取,日志可以透露持卡人姓名、身份证、银行卡类型、银行卡号码、CVV代码等信息。

    携程解释说,安全漏洞是由于技术开发人员留下临时日志来检查系统问题,并且由于疏忽而未能及时删除。然而,据知情人士称,一旦掌握了目录遍历,攻击者就可以超越服务器的根目录访问文件系统的其他部分,访问受限文件或资源,或者采取更危险的行动。

    这次揭露的“隐私泄露”不是携程的企业。去年,7天等连锁酒店被发现存在系统安全漏洞,导致2000万用户的身份证、手机、地址、营业时间等信息被泄露。

    贾茹、汉庭、咸阳国际贸易酒店、杭州伟晶国际酒店、易佳365快捷酒店和东莞虎门东方索菲特酒店全部或部分使用浙江汇达邮政网络有限公司开发的酒店无线管理和认证管理系统,汇达邮政将这些酒店客户记录实时存储在其服务器上,包括客户名称(两者都会显示)、身份证号、开业日期、房间号等大量敏感和私密信息。

    出于某种原因,这些信息是黑客获得的。漏洞的根源在于惠达邮政公司的管理机制不完善,因为他们的系统要求酒店在提交打开的记录时进行网页认证,但不是在酒店服务器上,而是通过惠达邮政自己的服务器,客户信息自然得以保存。

    此外,客户信息和数据的同步是通过http协议实现的,需要认证。但是,身份验证用户名和密码以明文形式传输,所有通道都可以轻松嗅到。有了这个认证信息,所有酒店上传的客户登记信息都可以从他们的数据服务器获得。

    一名安全专家以一家7天酒店为例,展示黑客如何利用这些漏洞通过远程入侵和渗透获得对目标服务器的访问,并窃取用户的敏感数据信息。

    携程隐私泄露门启示:酒店服务更易出信息漏洞

    7天无线局域网账户系统截图(腾讯科技地图)

    以7天连锁酒店无线局域网账户管理系统为例,安全专家发现系统在系统分析中应用了结构化2框架。然而,结构2框架已被披露具有严重的远程命令执行和重定向漏洞。

    安全专家为结构2漏洞测试选择一个。根据发布的漏洞利用方法,尝试利用远程命令执行漏洞,尝试执行命令whoami,即尝试获取当前用户的用户名信息。

    安全专家重建。该的作用是:如果目标系统中存在结构2远程命令执行漏洞,系统将执行我们预设的whoami命令,并将命令执行的结果信息反馈给安全专家。

    在浏览器中提交信息后,安全专家发现可以获得当前用户名信息,这证明系统中存在严重的结构化2远程命令执行漏洞。

    通过进一步的信息获取,获得了一些与服务器环境相关的信息,如下表所示。

    携程隐私泄露门启示:酒店服务更易出信息漏洞

    在真正的入侵事件中,黑客的目标不是获取服务器相关的信息,而是获取用户相关的敏感数据信息。安全专家做的第一件事是利用漏洞获取Webshell。已经有成熟的方法使用结构2框架来获得Webshell,这只能通过通过远程命令执行漏洞编写文件来实现。

    通过Webshell中的文件查看功能,安全专家找到数据库连接信息,并以此信息为基础,获取黑客在目标数据库中感兴趣的数据库表和用户的敏感数据信息。

    安全专家指出,通过上述对7天连锁酒店网络系统安全漏洞的分析,如果酒店众多网络系统中的一个出现安全问题,可能会导致酒店相关用户敏感数据信息的泄露,从而引发公众对“开房”的恐慌,这也发生在v

    [本文由合作媒体转载,并经投资界授权。这篇文章的版权属于原作者和原出处。这篇文章是作者的个人观点,并不代表投资界的立场。请联系原始作者和原始来源以获得授权。如果您有任何问题,请联系(editor

    youtube.com

    友情链接: