北京地铁充值漏洞仍未修补:视频演示可随意改余额

一个多月前,乌云网
曝光称北京地铁收费系统存在基础安全算法方面的漏洞,已经交给相关部门进行处理,但随后就没了下文,大家更关注的还是今后如何涨价。有专业人士称,这主要是由于漏洞的危害尚未得到直接复现,说服力不强,因此结果就是不仅没有得到地方有关部门的配合,也没有得到社会的重视。鉴于漏洞细节都已经陆续向普通、实习白帽子公开,在漏洞尚未得到治理的情况下,这实质上已经等同于向
所有人公开,因此为了引起社会的重视,有人通过对北京地铁收费系统安全算法漏洞的研究,利用NFC手机开发了相应的APP,成功地复现了攻击该漏洞的场景。从演示视频中可以看出,利用此APP,可以随意对北京地铁票卡进行扣费、充值,原来免费充值还真是可以的。国家信息安全漏洞共享平台(CNVD)此前其实曾对此漏洞做出回应,
但是表示未直接复现,只是说会根据后续提供的信息,对所述标准披露情况以及截图验证情况进行初步确认,拟后续协调北京市政府信息化主管部门处置。据称,这则视频目前也已经提交国家互联网应急中心,静待后续吧。演示视频:http://v.youku.com/v_show/id_XODM2MjA0ODQw.html乌云平台公示:http://www.wooyun.org/bugs/wooyun-2014-080356以下为视频截图:

时间: 2024-09-20 11:39:58

北京地铁充值漏洞仍未修补:视频演示可随意改余额的相关文章

Ubuntu时间错乱漏洞仍未修复 不知道密码可获root权限

Ubuntu(乌班图)是世界上最流行的Linux发行版本之一,其通用Unix组件中存在一个安全漏洞.然而距离官方发布相关补丁已经一年多了,该漏洞还是未能得到修复. Unix系统中的"Sudo"是"Super do"的通用简称.Sudo应用属于Unix系统的常见组件,几十年来一直是Unix系统的一部分.该应用使得用户可以像拥有root权限时那样进行操作,而不需要用户以管理员身份登录.这建立了一种比较安全的环境. 然而该漏洞可以使黑客在不知道密码的情况下使用已经登录的帐

所有Linux发行版仍未修复严重的GNU wget漏洞

 先前,安全研究员Dawid Golunski和SecuriTeam曝出GNU wget漏洞.6月9日,GNU wget项目发布文件下载包新版1.18修复漏洞. CVE-2016-4971 漏洞回顾 GUN wget 作为*nix 系统常用下载工具,支持http.https.ftp 等多种协议,当使用wget 下载文件时,若初始下载http服务提供的下载资源, 如果服务器将下载资源重定向到ftp服务时,wget 会默认信赖http服务器重定向的ftp 链接地址和文件名,而不做二次验证.从而可能下

PHP7曝出三个高危0-day漏洞,还有一个仍未修复

PHP7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站. 这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Drupal.Joomla.Magento.vBulletin和PornHub等网站. 漏洞概况 最近,Check Point的exploit研究团队安全人员花费数个月时间,检查PHP7的反序列化机制,并发现了该机制中的"三个新的.此前未知的漏洞". 虽然此次的漏

过了3个月:包括银行应用在内的iOS漏洞至今仍未修复

今年2月份,安全专家发现多款iOS应用存在泄漏登陆凭证和其他私人数据的漏洞:然而时间过去3个月,包括移动银行应用在内的多款应用程序至今仍未获得修复. 图片来自于 ZDNet 来自Sudo Security Group的Will Strafach解释道:不少于76款应用程序会受到中间人攻击影响,其中包括银行和医疗应用.黑客能够利用这些应用在用户不知情的情况下泄漏用户登陆细节.

北京地铁系统曝漏洞黑客可扰乱地铁运行

北京地铁系统曝漏洞 黑客可扰乱地铁运行新浪科技讯 12月16日下午消息,安全专家@赵武360今天在微博上透露,北京地铁官方后台管理系统存在漏洞,黑客可侵入后台控制地铁线路.官方动态等重要信息.北京地铁官方 微博回应已将此情况告知设备厂家,并表示感谢.北京地铁后台管理系统的漏洞是由一名网名啊的白帽子发现,并提交到360补天漏洞响应平台.白帽子是安全的建设者而非破坏者.根据补天平台的漏洞信息显示,黑客可利用该漏洞直接登录系统管理员账号,然后任意对北京地铁的站点.周边景点.热线电话等信息进行增删或修改

北京地铁实施NICE的IP视频解决方案

色列 RA'ANANA 2009年10月15日电 -- 使各机构能提取 Insight from Interactions 来提高性能的先进解决方案的全球领先供应商 NICE Systems Ltd. (Nasdaq: NICE) 今天宣布,中国北京地铁已经选择该公司来提供 NICE 能支持特定项目现场内容分析的 IP 视频解决方案,以加强北京地铁15号线24个站点的安全和安防工作.继另外6条地铁线的成功部署之后,北京地铁选择了基于 IP 的 NICE 解决方案.NICE 在该项目中的业务合作伙

美国资本市场对中国概念股窗口期仍未过去

侯继勇 北京报道 人人网.网秦等公司上市后跌破发行价,是不是会影响美国资本市场对"中国概念"的评估? griggs接受本报记者采访时表示,美国资本市场大门已经对中国概念股关闭的说法,是毫无根据的,目前连窗口期都没有过去. nelson griggs说,单独少数公司的表现是跟其业绩.发行定价相关,并不会影响整个市场的整体判断,其实首日大涨的公司要远多于跌破发行价的公司,中美都有,比如当当.360的表现,以及linkedin等公司的表现.他认为一些经营业绩不那么好的公司,也并不会影响投资者

人脸识别走进地铁安防 八通线视频监控完成升级

随着城市经济的发展和人口的增长,大城市交通状况日趋恶化,频监控系统在交通管理中有很重要的作用,但随着需求的不断提高,普通视频监控不能满足轨道交通运营和安防的需求,高清网络化.智能化是地铁视频监控系统的必然结果.日前,公安部第一研究所开发的名为"面向未来"的人脸识别系统,已经正式向外界发布.系统在终端采集人脸信息后,与数据库里的逃犯等资料进行比对,从而甄别不法分子.研究所研究员表示2015年6月中旬,该款产品将到广州地铁站进行试点. 而目前,北京地铁八通线车厢内的视频监控系统正在逐步改造

零日漏洞迟迟未补上:扫描发现超85万思科设备受影响

摘要:据外媒报道,最近一次对思科网络设备的扫描发现,全球仍有数十万台设备未打上一个安全补丁,受影响的设备将面临被攻击者从内存中检索数据的安全隐患.思科最近证实了此事,而网络上已经有一个自称The Shadow Brokers的黑客团体发布了一款网络攻击套件--此前分析认为其仅印象旧款(已停产的)PIX固件,但现在发现它还波及新型号. 这款工具名叫"BENINGCERTAIN",黑客组织一同放到网络上的还有其它数十款黑客工具,其声称窃取自一家名叫Equation Group的网络间谍公司