【pk10外挂-幸运pk10外挂】电脑报第36期安全预警

  • 时间:
  • 浏览:8
  • 来源:彩神大发快3官方-彩神app官方

电脑报第36期安全预警

  • 2016/9/9 9:26:13
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:电脑报
  • 作者:

【电脑报在线】每天都在新的安全威胁产生,每天都在电脑遭受攻击,每天当当我们我们我们收到过多安全求助信。当我们我们我们将从那些求助信息中挑选出具有代表性的进行深入的分析和讨论,给出具有通用性质的防止方案。微博求助:http://weibo.com/cdx1983 。

旅游保险  1元读懂

  去海外自由行,旅游网站会推荐购买旅游保险,我人太好几十元、一两百元过多,但真的有必要吗?对黑客来说,1元能读懂的事情我过多 说多花钱了,买买买!没错,利用旅游网站的支付漏洞就能可不并能了1元能买旅游保险哟!

技术分析

     白帽子 路人甲:准备年假去澳大利亚玩,于是网上(http://www.*****gwo.cn/insurance)做攻略订机票、酒店等,在浏览某知名旅游网站时,无意中发现“旅游保险”一项,这些 到底买不买呢?先看看再说!发生习惯,浏览了一下网页代码,没有想到甜得通信用了明码,OMG

  这原因过多敏感数据能可不并能了直接掌握并能可不并能了进行入侵尝试。反正闲着也是闲着,用数据抓包黑客工具进行拦截,甜得发现支付漏洞。下面以一 个100元的保险为例,点击“立即购买”,输入姓名、手机等自己数据并提交,此时黑客工具就拦截了提交数据。

 

原价100元买一份保险

       在数据中start_date是开使时间,end_dat是开使时间,payer_mobile是手机号码,payer_birthday是生日,price是价格……过多了这里就不一一举例了。这里最关键的是price=100,这段代码的意思是支付价格是100元,将数据改为1再提交,旅游网站显示成功购买了安盛天平人在旅途境外保障计划,享受意外身故20万元、医药补偿10万元和住院津贴100元。

 

修改price=1就能可不并能了1元买任何保险

  到此,不妨来个脑际急降速运动,既然“旅游保险”功能有另三个 多 的支付漏洞,那“机票+酒店”呢?“邮轮”呢?那些功能顶端是都在都在同样的支付漏洞吗?能可不并能了1元免费玩遍澳大利亚呢?想想都在点小激动哟!言归正传,网站的安全机制对用户提交数据没有进行严格的数据校验是重大失误,原因有就我过多 出显 没有荒唐的事情了。

     小贴士:数据校验是为保证数据的完整性性,用两种生活指定的算法对原始数据计算出的另三个 多 校验值。接收方用同样的算法计算一次校验值,原因和随数据提供的校验值一样,说明数据是完整性的。常见的有奇偶校验、循环冗余校验、MD5校验和数字签名,本文旅游网站没有使用相对高级的MD5校验和数字签名。

 读者点评

       @名侦探兔美1元买保险,这些 真没有想到,套路太深。

       @ TiTan5:看样子不光是保险吧,各种费用都能借这些 土方法省下来了。

本文出自2016-09-05出版的《电脑报》2016年第35期 A.新闻周刊 (网站编辑:wendy)

发表给力评论!看新闻,说两句。

匿名 ctrl+enter快捷提交

网站地图 | 版权声明 | 业务公司公司合作 | 感情是什么 链接 | 关于当我们我们我们 | 招聘信息

报纸客服电话:1006677866 报纸客服信箱:pcw-advice@vip.sina.com 感情是什么 链接与公司公司合作 :987349267(QQ) 广告与活动:671009(QQ) 网站联系信箱:cpcw@cpcwi.com

Copyright © 1006-2011 电脑报官方网站 版权所有 渝ICP备1009040号