小漏洞大影響:來看看希爾頓酒店官網的CSRF漏洞
責編:admin |2015-04-10 12:19:23世界級連鎖酒店——希爾頓酒店官網上曝CSRF(跨站請求偽造)漏洞,雖然CSRF漏洞在大多數安全研究者眼中算不上“高危”,但這枚漏洞的影響可并不小。
更改密碼即可獲得1000個積分
世界級連鎖酒店大亨——希爾頓近期推出了一項活動——為了鼓勵用戶勤換密碼提高安全意識,在4月1日前更改賬號密碼,就能獲得1000個免費積分。然而非常諷刺的是,安全研究人員在這個推廣功能上發現了一枚CSRF漏洞——攻擊者只要知道或者猜到了榮譽會員9位數的會員卡號就能任意劫持其賬號。
該漏洞是由安全咨詢與測試公司Bancsec的技術咨詢員Brandon Potter和JB Snyder發現。
通過CSRF漏洞劫持受害者賬號之后,攻擊者能看到用戶的所有信息,還可更改其信息:包括更改賬號密碼,預覽之前瀏覽過的網頁,兌換希爾頓積分,預定酒店,將積分兌現到一個銀行卡上或者轉到另一個榮譽會員賬號上等。該漏洞還會泄露用戶的郵箱賬號、家庭住址,甚至是信用卡的后4位數。
該CSRF漏洞被標記為危險的另一個原因,是因為當用戶在網站修改密碼時,已登錄的用戶無需重新輸入他們原來的密碼。
研究人員用自己的會員卡演示漏洞
Krebs只是給了Potter和Snyder他的賬號,幾秒鐘之后,他們就登進了Krebs的賬號,并截下了證明圖片。幾小時之后,他們就把這一問題反饋給了希爾頓公司,公司當即停止了用戶更改密碼的功能。
攻擊者之所以可以很快的枚舉出榮譽會員的會員卡號,是因為網站上有個PIN碼重置頁面,它會自動告訴你任意9位數的賬號是否是有效賬號,這就大大減輕了工作量。如果沒有它的幫助,這上億種數字組合不知道要測試多久呢。
Snyder稱該問題源于一個普通的web應用程序漏洞——CSRF(跨站請求偽造)漏洞,當已登錄希爾頓酒店的用戶訪問包含惡意代碼的web網站、郵件、及時消息,那么就會導致上面所說的一系列的攻擊行為。
目前希爾頓已經修復了這一漏洞,并規定用戶不可使用PIN碼作為密碼了。網站要求用戶在設置密碼時要至少有8字節的長度,并且要至少包括一個大寫字母、一個數字或者特殊字符。
文章來源:FreeBuf黑客與極客(FreeBuf.COM)