漏洞報(bào)告平臺(tái)烏云網(wǎng)最近連續(xù)披露兩個(gè)攜程網(wǎng)安全漏洞���,稱攜程安全支付日志可被任意讀取���,日志可以泄露包括持卡人姓名、身份證��、銀行卡類別�����、銀行卡號(hào)����、CVV碼等信息。
攜程解釋稱��,安全漏洞是由于技術(shù)開(kāi)發(fā)人員為排查系統(tǒng)疑問(wèn)而留下臨時(shí)日志���,并由于疏忽未及時(shí)刪除。不過(guò)�����,據(jù)知情人士透露�����,一旦掌握目錄遍歷,攻擊者能超過(guò)服務(wù)器根目錄��,從而訪問(wèn)到文件系統(tǒng)的其他部分���,訪問(wèn)受限制文件或資源�����,或采取更危險(xiǎn)行為��。
此次暴露出的“隱私泄露”問(wèn)題并非攜程一個(gè)企業(yè)存在��,7天等連鎖酒店去年就被曝出存在系統(tǒng)安全漏洞�����,導(dǎo)致2000萬(wàn)用戶身份證�、手機(jī)�、住址及開(kāi)房時(shí)間等信息遭到泄露。
如家��、漢庭��、咸陽(yáng)國(guó)貿(mào)大酒店、杭州維景國(guó)際大酒店�����、驛家365快捷酒店����、東莞虎門東方索菲特酒店全部或者部分使用浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司開(kāi)發(fā)的酒店Wi- Fi管理、認(rèn)證管理系統(tǒng)����,而慧達(dá)驛站在其服務(wù)器上實(shí)時(shí)存儲(chǔ)這些酒店客戶記錄,包括客戶名(兩個(gè)人的話都會(huì)顯示)����、身份證號(hào)、開(kāi)房日期��、房間號(hào)等大量敏感�����、隱私信息����。
因?yàn)槟撤N原因,這些信息被黑客拿到��,漏洞根源在于慧達(dá)驛站公司管理機(jī)制的不完善��,因?yàn)樗麄兊南到y(tǒng)要求酒店在提交開(kāi)放記錄的時(shí)候進(jìn)行網(wǎng)頁(yè)認(rèn)證�,但不是在酒店服務(wù)器上,而要通過(guò)慧達(dá)驛站自己的服務(wù)器�,理所當(dāng)然地就存下了客戶的信息。
另外�,客戶信息數(shù)據(jù)同步是通過(guò)http協(xié)議實(shí)現(xiàn),需要認(rèn)證�,但是認(rèn)證用戶名、密碼是明文傳輸��,各個(gè)途徑都可能被輕松嗅探到��,用這個(gè)認(rèn)證信息可從他們數(shù)據(jù)服務(wù)器上獲得所有酒店上傳客戶開(kāi)房信息����。
一家安全專家就以7天酒店為例,展示黑客如何利用這些漏洞遠(yuǎn)程入侵滲透方式獲取目標(biāo)服務(wù)器權(quán)限���,并以此盜取用戶敏感數(shù)據(jù)信息�。
7天WLAN賬號(hào)系統(tǒng)截圖
以7天連鎖酒店WLAN賬號(hào)管理系統(tǒng)為例���,安全專家對(duì)該系統(tǒng)分析過(guò)程中����,發(fā)現(xiàn)該系統(tǒng)應(yīng)用Structs2框架。而Structs2框架在曾被公布存在嚴(yán)重的遠(yuǎn)程命令執(zhí)行和重定向漏洞�。
安全專家選擇一個(gè)URL地址進(jìn)行Structs2漏洞測(cè)試。根據(jù)已公布漏洞利用方法�����,嘗試進(jìn)行遠(yuǎn)程命令執(zhí)行漏洞的利用�����,嘗試執(zhí)行命令whoami����,即嘗試獲取當(dāng)前用戶的用戶名信息����。
安全專家再構(gòu)造URL地址。該URL的作用是:如果目標(biāo)系統(tǒng)存在Structs2遠(yuǎn)程命令執(zhí)行漏洞���,則系統(tǒng)會(huì)執(zhí)行我們預(yù)設(shè)的whoami命令�����,并將命令執(zhí)行的結(jié)果信息反饋給安全專家��。
在瀏覽器中提交該URL信息后��,安全專家發(fā)現(xiàn)可以獲取當(dāng)前用戶名信息���,也就證明該系統(tǒng)存在嚴(yán)重的Structs2遠(yuǎn)程命令執(zhí)行漏洞��。
通過(guò)進(jìn)一步的信息獲取���,獲取到與服務(wù)器環(huán)境有關(guān)的一些信息如下表所示��。
在真實(shí)的入侵事件中����,黑客目標(biāo)不是獲取服務(wù)器相關(guān)信息��,而是獲取與用戶相關(guān)敏感數(shù)據(jù)信息。安全專家首先就是利用漏洞獲取Webshell�。關(guān)于Structs2框架獲取Webshell的方法已經(jīng)有成熟的利用方式,僅需要通過(guò)遠(yuǎn)程命令執(zhí)行漏洞寫入文件即可實(shí)現(xiàn)�。
通過(guò)Webshell中的文件查看功能��,安全專家找到數(shù)據(jù)庫(kù)連接信息,并在該信息基礎(chǔ)上獲取目標(biāo)數(shù)據(jù)庫(kù)中黑客比較感興趣的數(shù)據(jù)庫(kù)表及用戶的敏感數(shù)據(jù)信息�����。
安全專家指出����,通過(guò)上述針對(duì)7天連鎖酒店網(wǎng)絡(luò)系統(tǒng)安全漏洞分析����,在酒店眾多網(wǎng)絡(luò)系統(tǒng)中���,如果一個(gè)系統(tǒng)存在安全問(wèn)題����,就可能導(dǎo)致與酒店相關(guān)用戶的敏感數(shù)據(jù)信息泄露��,從而引發(fā)公眾關(guān)于“開(kāi)房”的恐慌�,而這也恰好驗(yàn)證網(wǎng)絡(luò)安全的木桶原理��。
在對(duì)其他連鎖酒店網(wǎng)絡(luò)系統(tǒng)的安全分析中��,這些酒店網(wǎng)絡(luò)中幾乎都存在這種安全風(fēng)險(xiǎn)����,這都將導(dǎo)致用戶的敏感數(shù)據(jù)信息及個(gè)人隱私的外泄�,對(duì)用戶的影響和危害及其巨大�。
另一位安全專家就對(duì)騰訊科技表示���,企業(yè),尤其是國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)�,在安全方面投入很少,一般都把精力花費(fèi)在發(fā)展用戶上��,沒(méi)人重視信息安全問(wèn)題��,除非出問(wèn)題后才會(huì)想起來(lái)�����。
