压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

世界級連鎖酒店——希爾頓酒店官網上曝CSRF（跨站請求偽造）漏洞，雖然CSRF漏洞在大多數安全研究者眼中算不上“高?！保@枚漏洞的影響可并不小。

更改密碼即可獲得1000個積分

世界級連鎖酒店大亨——希爾頓近期推出了一項活動——為了鼓勵用戶勤換密碼提高安全意識，在4月1日前更改賬號密碼，就能獲得1000個免費積分。然而非常諷刺的是，安全研究人員在這個推廣功能上發現了一枚CSRF漏洞——攻擊者只要知道或者猜到了榮譽會員9位數的會員卡號就能任意劫持其賬號。

該漏洞是由安全咨詢與測試公司Bancsec的技術咨詢員Brandon Potter和JB Snyder發現。

通過CSRF漏洞劫持受害者賬號之后，攻擊者能看到用戶的所有信息，還可更改其信息：包括更改賬號密碼，預覽之前瀏覽過的網頁，兌換希爾頓積分，預定酒店，將積分兌現到一個銀行卡上或者轉到另一個榮譽會員賬號上等。該漏洞還會泄露用戶的郵箱賬號、家庭住址，甚至是信用卡的后4位數。

該CSRF漏洞被標記為危險的另一個原因，是因為當用戶在網站修改密碼時，已登錄的用戶無需重新輸入他們原來的密碼。

研究人員用自己的會員卡演示漏洞

Krebs只是給了Potter和Snyder他的賬號，幾秒鐘之后，他們就登進了Krebs的賬號，并截下了證明圖片。幾小時之后，他們就把這一問題反饋給了希爾頓公司，公司當即停止了用戶更改密碼的功能。

攻擊者之所以可以很快的枚舉出榮譽會員的會員卡號，是因為網站上有個PIN碼重置頁面，它會自動告訴你任意9位數的賬號是否是有效賬號，這就大大減輕了工作量。如果沒有它的幫助，這上億種數字組合不知道要測試多久呢。

Snyder稱該問題源于一個普通的web應用程序漏洞——CSRF（跨站請求偽造）漏洞，當已登錄希爾頓酒店的用戶訪問包含惡意代碼的web網站、郵件、及時消息，那么就會導致上面所說的一系列的攻擊行為。

目前希爾頓已經修復了這一漏洞，并規定用戶不可使用PIN碼作為密碼了。網站要求用戶在設置密碼時要至少有8字節的長度，并且要至少包括一個大寫字母、一個數字或者特殊字符。

文章來源：FreeBuf黑客與極客（FreeBuf.COM）