首页 > 今日要闻 > 正文

实验揭秘信息泄露:输入一串乱码用户信息就拿到

稿源时间:2017-03-15 09:06:04  文章来源:新华网  作者:佚名 责任编辑:zhanghonghong
【摘要】实验揭秘信息泄露:输入一串乱码用户信息就拿到---接到莫名其妙的推销电话,邮箱、QQ甚至网银密码被盗……在互联网时代,我们的个人信息正在“裸奔”。安云科技发现,某地政府的信息网上就存在这个漏洞,技术员利用该漏洞成功获取了网站的最高ROOT权限。

  接到莫名其妙的推销电话,邮箱、QQ甚至网银密码被盗……在互联网时代,我们的个人信息正在“裸奔”。到底是谁出卖了我们的信息?近日,齐鲁晚报·齐鲁壹点记者联合专注于信息安全的技术公司——山东安云信息技术有限公司进行了一系列实验。

  输入一串乱码

  用户信息轻易拿到

  我们每天登录的网站、爱不释手的APP,是否潜藏着信息泄露的风险?

  近日,安云科技的技术员对市民常用的网站进行监测,发现某酒店官网存在安全漏洞。“我们不会直接入侵该酒店网站,但可以模拟该网站的漏洞环境,搭建一个类似网站,并导入海量模拟用户信息,在这个实验环境中看看,类似网站有没有用户信息泄露的风险。”

  工程师在模拟网站中注册了一个会员,登录后开始寻找网站逻辑漏洞。找到一个可利用的漏洞后,工程师通过特殊技术构建了一个查询对话框,在对话框中输入了“王”字,26万余条王姓会员信息跳了出来。

  工程师又用弱密码123456进行破解,当场提取了1000个王姓会员的信息,包括姓名、手机号、身份证号、积分、会员卡号。“我用的是较为常见的123456密码,就能得到这么多人的信息。工程师在使用更高级的攻击及破解技术后,则获得了该网站所有会员的数据,多达数十万。”

  一些购物网站也没能幸免,工程师发现一个有安全隐患的购物网站。按照同样的方法,工程师搭建了个一模一样的虚拟网站,输入了十几行代码,半小时后成功获得了该虚拟网站的管理员权限。“我化身成了该网站的管理员,登录后,网上会员资料、商品订单、数据库备份等资料随便看。”

  在一款有漏洞的手机APP上,经过一番探查,工程师发现,这个漏洞主要存在于信息查询功能上。在记者的见证下,工程师在模拟的APP中输入“张敏”,查询出了该用户的住址、电话、身份证号。随后,工程师又输入了一串乱码,APP中所有用户的住址、电话、身份证号都出现在了屏幕上。

  “这个乱码就是我们分析出的程序漏洞,相当于配了一把打开别人家门的钥匙,进去之后所有的信息就都看见了。这种漏洞存在于具有信息查询功能的对话框中,比如大家熟悉的快递网站首页,输入运单号查询物流信息。如果物流网站具有这种逻辑漏洞,被黑客攻击后,所有人的物流信息就被泄露。”该工程师说。

欢迎广大网民为中国网山东提供新闻线索,积极投稿。中国网山东热线电话:【0531-88556593】 投稿邮箱:zgwsdchina@126.com 中国网山东微博:http://weibo.com/aixinqiye 微信公众号 :sdpdchina

0