漏洞報(bào)告平臺(tái)烏云網(wǎng)最近連續(xù)披露兩個(gè)攜程網(wǎng)安全漏洞，稱(chēng)攜程安全支付日志可被任意讀取，日志可以泄露包括持卡人姓名、身份證、銀行卡類(lèi)別、銀行卡號(hào)、CVV碼等信息。

　　攜程解釋稱(chēng)，安全漏洞是由于技術(shù)開(kāi)發(fā)人員為排查系統(tǒng)疑問(wèn)而留下臨時(shí)日志，并由于疏忽未及時(shí)刪除。不過(guò)，據(jù)知情人士透露，一旦掌握目錄遍歷，攻擊者能超過(guò)服務(wù)器根目錄，從而訪問(wèn)到文件系統(tǒng)的其他部分，訪問(wèn)受限制文件或資源，或采取更危險(xiǎn)行為。

　　此次暴露出的“隱私泄露”問(wèn)題并非攜程一個(gè)企業(yè)存在，7天等連鎖酒店去年就被曝出存在系統(tǒng)安全漏洞，導(dǎo)致2000萬(wàn)用戶身份證、手機(jī)、住址及開(kāi)房時(shí)間等信息遭到泄露。

　　如家、漢庭、咸陽(yáng)國(guó)貿(mào)大酒店、杭州維景國(guó)際大酒店、驛家365快捷酒店、東莞虎門(mén)東方索菲特酒店全部或者部分使用浙江慧達(dá)驛站網(wǎng)絡(luò)有限公司開(kāi)發(fā)的酒店Wi-Fi管理、認(rèn)證管理系統(tǒng)，而慧達(dá)驛站在其服務(wù)器上實(shí)時(shí)存儲(chǔ)這些酒店客戶記錄，包括客戶名(兩個(gè)人的話都會(huì)顯示)、身份證號(hào)、開(kāi)房日期、房間號(hào)等大量敏感、隱私信息。

　　因?yàn)槟撤N原因，這些信息被黑客拿到，漏洞根源在于慧達(dá)驛站公司管理機(jī)制的不完善，因?yàn)樗麄兊南到y(tǒng)要求酒店在提交開(kāi)放記錄的時(shí)候進(jìn)行網(wǎng)頁(yè)認(rèn)證，但不是在酒店服務(wù)器上，而要通過(guò)慧達(dá)驛站自己的服務(wù)器，理所當(dāng)然地就存下了客戶的信息。

　　另外，客戶信息數(shù)據(jù)同步是通過(guò)http協(xié)議實(shí)現(xiàn)，需要認(rèn)證，但是認(rèn)證用戶名、密碼是明文傳輸，各個(gè)途徑都可能被輕松嗅探到，用這個(gè)認(rèn)證信息可從他們數(shù)據(jù)服務(wù)器上獲得所有酒店上傳客戶開(kāi)房信息。

　　一家安全專(zhuān)家就以7天酒店為例，展示黑客如何利用這些漏洞遠(yuǎn)程入侵滲透方式獲取目標(biāo)服務(wù)器權(quán)限，并以此盜取用戶敏感數(shù)據(jù)信息。

7天WLAN賬號(hào)系統(tǒng)截圖(騰訊科技配圖)

　　以7天連鎖酒店WLAN賬號(hào)管理系統(tǒng)為例，安全專(zhuān)家對(duì)該系統(tǒng)分析過(guò)程中，發(fā)現(xiàn)該系統(tǒng)應(yīng)用Structs2框架。而Structs2框架在曾被公布存在嚴(yán)重的遠(yuǎn)程命令執(zhí)行和重定向漏洞。

　　安全專(zhuān)家選擇一個(gè)URL地址進(jìn)行Structs2漏洞測(cè)試。根據(jù)已公布漏洞利用方法，嘗試進(jìn)行遠(yuǎn)程命令執(zhí)行漏洞的利用，嘗試執(zhí)行命令whoami，即嘗試獲取當(dāng)前用戶的用戶名信息。

　　安全專(zhuān)家再構(gòu)造URL地址。該URL的作用是：如果目標(biāo)系統(tǒng)存在Structs2遠(yuǎn)程命令執(zhí)行漏洞，則系統(tǒng)會(huì)執(zhí)行我們預(yù)設(shè)的whoami命令，并將命令執(zhí)行的結(jié)果信息反饋給安全專(zhuān)家。

　　在瀏覽器中提交該URL信息后，安全專(zhuān)家發(fā)現(xiàn)可以獲取當(dāng)前用戶名信息，也就證明該系統(tǒng)存在嚴(yán)重的Structs2遠(yuǎn)程命令執(zhí)行漏洞。

　　通過(guò)進(jìn)一步的信息獲取，獲取到與服務(wù)器環(huán)境有關(guān)的一些信息如下表所示。

　　在真實(shí)的入侵事件中，黑客目標(biāo)不是獲取服務(wù)器相關(guān)信息，而是獲取與用戶相關(guān)敏感數(shù)據(jù)信息。安全專(zhuān)家首先就是利用漏洞獲取Webshell。關(guān)于Structs2框架獲取Webshell的方法已經(jīng)有成熟的利用方式，僅需要通過(guò)遠(yuǎn)程命令執(zhí)行漏洞寫(xiě)入文件即可實(shí)現(xiàn)。

　　通過(guò)Webshell中的文件查看功能，安全專(zhuān)家找到數(shù)據(jù)庫(kù)連接信息，并在該信息基礎(chǔ)上獲取目標(biāo)數(shù)據(jù)庫(kù)中黑客比較感興趣的數(shù)據(jù)庫(kù)表及用戶的敏感數(shù)據(jù)信息。

　　安全專(zhuān)家指出，通過(guò)上述針對(duì)7天連鎖酒店網(wǎng)絡(luò)系統(tǒng)安全漏洞分析，在酒店眾多網(wǎng)絡(luò)系統(tǒng)中，如果一個(gè)系統(tǒng)存在安全問(wèn)題，就可能導(dǎo)致與酒店相關(guān)用戶的敏感數(shù)據(jù)信息泄露，從而引發(fā)公眾關(guān)于“開(kāi)房”的恐慌，而這也恰好驗(yàn)證網(wǎng)絡(luò)安全的木桶原理。

　　在對(duì)其他連鎖酒店網(wǎng)絡(luò)系統(tǒng)的安全分析中，這些酒店網(wǎng)絡(luò)中幾乎都存在這種安全風(fēng)險(xiǎn)，這都將導(dǎo)致用戶的敏感數(shù)據(jù)信息及個(gè)人隱私的外泄，對(duì)用戶的影響和危害及其巨大。

　　另一位安全專(zhuān)家就對(duì)騰訊科技表示，企業(yè)，尤其是國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)，在安全方面投入很少，一般都把精力花費(fèi)在發(fā)展用戶上，沒(méi)人重視信息安全問(wèn)題，除非出問(wèn)題后才會(huì)想起來(lái)。