加入收藏 | 设为首页 | 会员中心 | 我要投稿 甘孜站长网 (https://www.0836zz.com.cn/)- 运维、物联设备、数据计算、智能推荐、云管理!
当前位置: 首页 > 运营中心 > 建站资源 > 经验 > 正文

SlickWraps的网站上充满了漏洞

发布时间:2020-02-24 06:43:22 所属栏目:经验 来源:站长网
导读:你需要知道的: 据报道,SlickWraps有一个严重的漏洞,该漏洞可能使任何博学的攻击者都可以使用其网站访问客户数据以及更多内容。 该公司还拒绝了安全研究人员试图修复漏洞的尝试。 研究人员Lynx0x00自己动手,利用漏洞授予的功能来警告客户有关漏洞的信息

你需要知道的:

据报道,SlickWraps有一个严重的漏洞,该漏洞可能使任何博学的攻击者都可以使用其网站访问客户数据以及更多内容。

该公司还拒绝了安全研究人员试图修复漏洞的尝试。

SlickWraps的网站上充满了漏洞

研究人员Lynx0x00自己动手,利用漏洞授予的功能来警告客户有关漏洞的信息。

安全很难。即使是像Facebook和Twitter这样的公司,在这里工作的所有聪明人和失败的高风险也仍然会不时出现数据泄露。得知以销售用于手机和笔记本电脑的可爱包裹而闻名的SlickWraps会经历自身的漏洞,这并不奇怪。

更令人担忧的是,该公司采取了积极行动的方式来主动忽略安全研究人员的警告,并按照欧盟法律的要求避免将违规行为传达给客户。

Lynx0x00在一个充满曲折的惊人作品中,在Medium上分享了整个肮脏的事物。

SlickWraps的网站上充满了漏洞

以下是一些重要摘录:

关于他如何访问SlickWraps数据库的信息:

该[手机外壳定制]页面包含一个不可原谅的漏洞:具有正确工具包的任何人都可以将任何文件上传到其服务器上最高目录(即“网络根目录”)中的任何位置。从那里,上传了一个简单的.htaccess文件,从而可以找到以下路径:

SlickWraps现有和以前的员工的简历(包括自拍照,电子邮件地址,家庭住址,电话号码等)

通过SlickWraps手机外壳定制工具上传的9GB个人客户照片(包括客户上传的色情内容的备份)。

由于SlickWraps公然无视任何形式的操作安全性,因此我能够轻松实现远程代码执行并解锁执行Shell命令的能力。对于初学者来说,执行shell命令的能力类似于获得万能钥匙。它解锁一切。

他可以访问的内容包括:

我能够将自己添加为他们的Zendesk平台的所有者。现在,我可以在与多个SlickWraps帐户绑定的收件箱中接收电子邮件了,我只需发送密码重置并进一步解锁:

完全可以访问其公司Slack团队-该团队中包含135,000条历史消息。

其支付网关(PayPal和Braintree)的经常账户余额和交易日志。

我发现他们的管理员面板(即SlickWraps员工和管理人员用于在SlickWraps网站上提取报告和管理内容的界面)受到了毫无意义的防火墙的粗心保护(请记住:我有“万能钥匙”)。我将自己添加为管理员用户,并立即获得了对其内容管理系统的完全控制。

本质上,访问该漏洞的任何人都可以根据自己的意愿使用SlickWraps用户的数据。这是一个非常非常非常严重的漏洞。

看来您的客户已经不满意。这不会让它变得更好... pic.twitter.com/UQNwImpMSN

-Lynx(@ Lynx0x00)2020年2月16日

SlickWraps的网站上充满了漏洞

并不是SlickWraps没有意识到该漏洞。Lynx详细介绍了与它们进行联系的几种尝试,从细微到最直接的尝试。每次,他不仅被拒绝,而且最终被SlickWraps Twitter帐户阻止两次。对于公司来说不是很好。据报道,尽管该公司试图清理其裸露区域,但仍使漏洞处于打开状态。这有点像在改变房屋的门,但留下了同样的旧锁,付出了很多努力却几乎没有回报。

Lynx对事件的播放方式表示困惑,Lynx写道:

我仍然无法理解SlickWraps为什么不简单地与我交流以了解基本漏洞所在的原因。他们没有按照通知客户隐私权的义务行事,这使我越来越沮丧。要了解此数据泄露的严重性,请注意,未在欧盟范围内通知客户数据泄露的行为可能导致最高2000万欧元的行政罚款,或公司全球年营业额的4%(以较高者为准)。

一个主要的安全漏洞是不好的,但很容易修复。但是,当您的整个公司都建立在成千上万个较小但同样致命的缺陷上,而您又添加了一个重大缺陷时,我不确定是否可以解决此问题……不知道它们到目前为止如何发展

-Lynx(@ Lynx0x00)2020年2月18日

犯错误是很自然的。每个人都不时做。真正的字符量度是您对被发现的反应。通过多种方式,SlickWraps通过了振动检查,

(编辑:甘孜站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读