您好,歡迎來到58網(wǎng)站目錄!

如家漢庭曾泄漏2000萬開房信息

站長「蝙蝠俠」:QQ1251270088  瀏覽:1191次 時間:2014-03-25

漏洞報告平臺烏云網(wǎng)最近連續(xù)披露兩個攜程網(wǎng)安全漏洞,稱攜程安全支付日志可被任意讀取,日志可以泄露包括持卡人姓名、身份證、銀行卡類別、銀行卡號、CVV碼等信息。
攜程解釋稱,安全漏洞是由于技術(shù)開發(fā)人員為排查系統(tǒng)疑問而留下臨時日志,并由于疏忽未及時刪除。不過,據(jù)知情人士透露,一旦掌握目錄遍歷,攻擊者能超過服務(wù)器根目錄,從而訪問到文件系統(tǒng)的其他部分,訪問受限制文件或資源,或采取更危險行為。
此次暴露出的“隱私泄露”問題并非攜程一個企業(yè)存在,7天等連鎖酒店去年就被曝出存在系統(tǒng)安全漏洞,導(dǎo)致2000萬用戶身份證、手機、住址及開房時間等信息遭到泄露。
如家、漢庭、咸陽國貿(mào)大酒店、杭州維景國際大酒店、驛家365快捷酒店、東莞虎門東方索菲特酒店全部或者部分使用浙江慧達驛站網(wǎng)絡(luò)有限公司開發(fā)的酒店Wi-Fi管理、認證管理系統(tǒng),而慧達驛站在其服務(wù)器上實時存儲這些酒店客戶的記錄,包括客戶名(兩個人的話都會顯示)、身份證號、開房日期、房間號等大量敏感、隱私信息。
結(jié)果因為某種原因,這些信息是可以被黑客拿到的。漏洞的根源在于慧達驛站公司管理機制的不完善,因為他們的系統(tǒng)要求酒店在提交開放記錄的時候進行網(wǎng)頁認證,但不是在酒店服務(wù)器上,而要通過慧達驛站自己的服務(wù)器,理所當然地就存下了客戶的信息。
另外,客戶信息數(shù)據(jù)同步是通過http協(xié)議實現(xiàn),需要認證,但是認證用戶名、密碼是明文傳輸,各個途徑都可能被輕松嗅探到,用這個認證信息可從他們數(shù)據(jù)服務(wù)器上獲得所有酒店上傳客戶開房信息。
一家安全專家就曾以如家為例,指出黑客如何可以利用這些漏洞通過遠程入侵滲透方式獲取目標服務(wù)器權(quán)限,并以此盜取用戶敏感數(shù)據(jù)信息。
以7天連鎖酒店WLAN賬號管理系統(tǒng)為例,安全專家對該系統(tǒng)分析過程中,發(fā)現(xiàn)該系統(tǒng)應(yīng)用Structs2框架。而Structs2框架在曾被公布存在嚴重的遠程命令執(zhí)行和重定向漏洞。
安全專家選擇一個URL地址進行Structs2漏洞測試。根據(jù)已公布漏洞利用方法,嘗試進行遠程命令執(zhí)行漏洞的利用,嘗試執(zhí)行命令whoami,即嘗試獲取當前用戶的用戶名信息。
安全專家再構(gòu)造URL地址。該URL的作用是:如果目標系統(tǒng)存在Structs2遠程命令執(zhí)行漏洞,則系統(tǒng)會執(zhí)行我們預(yù)設(shè)的whoami命令,并將命令執(zhí)行的結(jié)果信息反饋給安全專家。
在瀏覽器中提交該URL信息后,安全專家發(fā)現(xiàn)可以獲取當前用戶名信息,也就證明該系統(tǒng)存在嚴重的Structs2遠程命令執(zhí)行漏洞。
通過進一步的信息獲取,獲取到與服務(wù)器環(huán)境有關(guān)的一些信息如下表所示。

在真實的入侵事件中,黑客目標不是獲取服務(wù)器相關(guān)信息,而是獲取與用戶相關(guān)敏感數(shù)據(jù)信息。安全專家首先就是利用漏洞獲取Webshell。關(guān)于Structs2框架獲取Webshell的方法已經(jīng)有成熟的利用方式,僅需要通過遠程命令執(zhí)行漏洞寫入文件即可實現(xiàn)。
通過Webshell中的文件查看功能,安全專家找到數(shù)據(jù)庫連接信息,并在該信息基礎(chǔ)上獲取目標數(shù)據(jù)庫中黑客比較感興趣的數(shù)據(jù)庫表及用戶的敏感數(shù)據(jù)信息。
安全專家指出,通過上述針對7天連鎖酒店網(wǎng)絡(luò)系統(tǒng)安全漏洞分析,在酒店眾多網(wǎng)絡(luò)系統(tǒng)中,如果一個系統(tǒng)存在安全問題,就可能導(dǎo)致與酒店相關(guān)用戶的敏感數(shù)據(jù)信息泄露,從而引發(fā)公眾關(guān)于“開房”的恐慌,而這也恰好驗證網(wǎng)絡(luò)安全的木桶原理。
在對其他連鎖酒店網(wǎng)絡(luò)系統(tǒng)的安全分析中,這些酒店網(wǎng)絡(luò)中幾乎都存在這種安全風(fēng)險,這都將導(dǎo)致用戶的敏感數(shù)據(jù)信息及個人隱私的外泄,對用戶的影響和危害及其巨大。
另一位安全專家就表示,企業(yè),尤其是國內(nèi)互聯(lián)網(wǎng)企業(yè),在安全方面投入很少,一般都把精力花費在發(fā)展用戶上,沒人重視信息安全問題,除非出問題后才會想起來。



本文地址:http://www.quema.com.cn/artinfo/126.html

最新收錄 最新審核通過的網(wǎng)站

?