携程隐私泄露门启示:酒店服务更易出信息漏洞
发表时间:2014年3月25日 11:34 来源:四川电视台
通过进一步的信息获取,获取到与服务器环境有关的一些信息如下表所示。
在真实的入侵事件中,黑客目标不是获取服务器相关信息,而是获取与用户相关敏感数据信息。安全专家首先就是利用漏洞获取Webshell。关于Structs2框架获取Webshell的方法已经有成熟的利用方式,仅需要通过远程命令执行漏洞写入文件即可实现。
通过Webshell中的文件查看功能,安全专家找到数据库连接信息,并在该信息基础上获取目标数据库中黑客比较感兴趣的数据库表及用户的敏感数据信息。
安全专家指出,通过上述针对7天连锁酒店网络系统安全漏洞分析,在酒店众多网络系统中,如果一个系统存在安全问题,就可能导致与酒店相关用户的敏感数据信息泄露,从而引发公众关于“开房”的恐慌,而这也恰好验证网络安全的木桶原理。
在对其他连锁酒店网络系统的安全分析中,这些酒店网络中几乎都存在这种安全风险,这都将导致用户的敏感数据信息及个人隐私的外泄,对用户的影响和危害及其巨大。
另一位安全专家就对腾讯科技表示,企业,尤其是国内互联网企业,在安全方面投入很少,一般都把精力花费在发展用户上,没人重视信息安全问题,除非出问题后才会想起来。
[1] [2]