尽管做的在好的作战防御组织,在安全方面也常常会发现明显的漏洞。就在近期,发现了一个可能会暴露数以百万计的私人信息——如果不是一个学习应用安全研究员这将会发生严重的后果,但是这也很容易的利用一个人基本信息,我们已经发现一个非常著名的在线市场,阿里巴巴全球速卖通网站。
阿里巴巴全球速卖通是一个贸易网站,低价销售产品。这是一个在线市场所拥有的庞大的业务电子商务市场,他在巨大的远东地区,通常被称为中国的亚马逊——阿里巴巴。它拥有超过三亿活跃用户来自二百多个国家和地区。用户是很有价值的,因为这让他们在廉价批发价格批量订货。
准确的全球速卖通的用户数量是未知的,但也可能是某个地方在数亿用户不仅位于远东地区,而且也可能在西半球。
诡诈的黑客可以得到数以百万计的个人联系方式,推出一个电脑化的脚本。网站全球速卖通只是不经意间出现了一个脆弱性——制造商很快就致力于恢复故障在几小时内通知。然而,Amitay丹,一名以色列应用安全研究员在Cybermoon工作。谁发现了缺陷在阿里巴巴全球速卖通网站系统。该漏洞,是黑客公开的新闻,是在地址栏。它显示一个用户登录的细节添加或更新他们的送货地址。这是一个很容易轻信。它只需要一些数字的变化在地址栏显示随机邮寄地址和私人号码。
根据给出的概念证明视频和截图以及Amitay丹的黑客新闻,全球速卖通网站允许登录用户添加或更新他们的送货地址在给定的URL和私人号码:
“123456”是客户的用户id登录。丹发现仅仅通过“邮件AddressId”的价值转移到另一个值,可以方便地利用网站的确认缺陷发现用户的邮件地址和机密数据在同一网站页面。
因此,攻击者可能仅仅抓住私人信息的,数以百万计的全球速卖通用户只需使用一个机械化脚本爬行的邮寄地址。htm页面为所有可能的数字- 1到99999999999的“邮件AddressId”价值。
丹后来受到黑客新闻报道提供全部细节漏洞的阿里巴巴全球速卖通团队和以色列媒体。
系统显示是多么明显的缺陷这已经成了很多网站漏洞,尽管网站变得活跃但是也采取一些必要的安全措施。同时也发出了一个重要讯息,这些网站的所有者和用户必须确定各种个人信息总是保护。