乌云再曝南航内部系统漏洞,可查看旅客机票所有信息

继昨天的“某招聘网站简历泄露”事件后,今天网络漏洞平台乌云又公开了一起
新的严重信息泄露事件,南方航空内部系统弱密码,导致攻击者可进入查看
旅客信息。乌云再曝南航内部系统漏洞,可查看旅客机票所有信息据漏洞显示,南航某分公司存在一个弱密码的高级账户,登陆后可查看旅客的所有信息、任意操作机票订单、免费购票等等。具体危害有:1、数万旅客信息泄露,机票所有信息(身份证——电话——住址——航程——航班)可用于机票诈骗2、任意操作
他人机票订单,退票,3、可以不要钱大量买机票,并且可以出票(屌丝的福利)4、短信轰炸(可以任意发送短信)5、黑屏功能好像很强大,航空公司内部查询系统,可看某重要领导行踪该漏洞在10月20日提交,南航公司当天即确认了此漏洞,并表示将抓紧修复。

时间: 2025-01-26 07:27:14

乌云再曝南航内部系统漏洞,可查看旅客机票所有信息的相关文章

Struts2再曝S2-020补丁绕过漏洞 – 万恶的正则表达式

Apache Struts 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允许访问'class' 参数(该参数直接映射到getClass()方法),并允许控制ClassLoader.在具体的Web容器部署环境下(如:Tomcat),攻击者利用 Web容器下的Java Class对象及其属性参数(如:日志存储参数),可向服务器发起远程代码执行攻击,进而植入网站后门控制网站服务器主机. 让我们一起来

Struts 2 再曝远程代码执行漏洞

今年4月份,Apache Struts 2之上发现的S2-033远程代码执行漏洞,以迅雷不及掩耳之势席卷而来.其利用代码很快就在短时间内迅速传播.而且官方针对这个高危漏洞的修复方案还是无效的. 悲剧的事情今天又再度发生了,这次发现的Struts 2新漏洞编号为CVE-2016-4438,该漏洞由国内PKAV团队-香草率先发现.这是又一个很严重的远程代码执行漏洞:使用REST插件的用户就会遭遇该问题. 有关该漏洞的详情如下: Apache Struts 2 S2-037 远程代码执行 漏洞编号:C

谷歌Android再曝两处新漏洞疑为远程攻击

比特网(Chinabyte)10月12日消息,据媒体报道,日前 安全研究人员公布了谷歌Android移动平台的两处漏洞. 来自开源计算机响应小组(oCert)称,这两处漏洞存在于Android 1.5版本中,目前谷歌已经修复了这两处漏洞. 第一处漏洞存在于短消息处理过程中.通过特定的恶意短信,黑客可以切断Android手机用户的网络,从而丧失服务功能. 第二处漏洞存在于Android的Dalvik API中,黑客可利用该漏洞发动拒绝服务攻击,所幸谷歌已经修复了这两处漏洞. 这两个手机应用程序漏洞

西瓜爆炸再曝食品安全监管漏洞

近日有媒体报道,51岁的江苏丹阳市延陵镇大吕村村民刘明锁,在使用村里技术员推荐的膨大剂后,自家40多亩还没有成熟的西瓜在几天之内纷纷开裂.不少跟他一起种植同品种西瓜的瓜农大棚里,也出现类似现象. 此消息引起不小轰动.上海市果品行业协会工作人员表示,西瓜"爆炸"很可能与这种生长调节剂使用剂量过大.喷洒时机不合适有关,而且,过量使用对人体健康有影响. 一位从事西瓜批发生意的销售商也告诉 <每日经济新闻>记者:"丹阳的西瓜开裂,是因为使用膨大剂的时间不对.一般情况下,膨

开源软件再曝重大漏洞 “幽灵”可远程控制Linux服务器

本文讲的是开源软件再曝重大漏洞 "幽灵"可远程控制Linux服务器,大多数Linux系统中广泛使用的一个组件存在严重漏洞(CVE-2015-0235),攻击者只需发送一封恶意邮件即可远程控制系统.披露该漏洞 的安全厂商Qualysg于周二表示,此漏洞存在于GNU发布的glibc(C运行库,负责定义系统调用)中,被称为"幽灵"(Ghost). 红帽.Debian.Ubuntu和Novell已经发布了更新补丁,建议系统管理员尽快打上. 该漏洞最早于2000年就出现在gl

12306购票软件再曝漏洞:票贩子1人可囤1车厢票

12306购票软件再曝漏洞:票贩子1人可囤1车厢票7月17日消息,近日,国内知名的乌云网已经 曝光了铁路12306购票软件存在安全漏洞,据了解,黄牛破解该漏洞后,票贩子1人可囤1车厢票.有专业的技术人员描述称,这个设计漏洞可以被黄牛党利用.对此,猎豹移动安全专家李铁军解释说,本来正常情况下,一部手机同一时间只能有一个账号登录来购票.正规的抢票软件,其购票流程和12306官方客户端完全一样,一部设备同一时间只支持一个账号登录买票,购票过程完全遵守12306的规则.但是,票贩子可以利用该漏洞,用一台

乌云曝招行网银存漏洞 招行称正常使用没安全问题

昨天下午,国内知名互联网漏洞平台乌云表示,招商银行的网银存漏洞,其网页版.个人电脑端.手机APP均受影响,黑客可以通过此漏洞窃取个人信息.不过,招行昨天回应称,客户如果正常使用招行网银,不会导致信息泄露和资金损失. 昨天,乌云漏洞平台指出,招商银行网银存在定向XSS漏洞,通杀网页.PC端及手机APP,该漏洞可定向窃取信息钓鱼种马.互联网业内人士对此解释称,此漏洞即招行网银某处存储型XSS漏洞,黑客可以通过此漏洞,对招行客户进行"钓鱼".偷密码,并且可以看到账号余额.不过,招商银行昨天对

携程再曝重大漏洞:怎么又是信用卡

3月份,乌云漏洞报告平台公布的最新漏洞称,携程安全支付日志可遍历下载,导致大量用户银行卡信息泄露(包含持卡人姓名身份证.银行卡号.卡CVV码.6位卡Bin).乌云网称已将细节通知厂商并且等待厂商处理中.此外,携程还被曝携程某分站源代码包可直接下载.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="携程再曝重大漏洞:怎么又是信用卡" width=&quo

微软浏览器再曝新漏洞 最新版IE8未能幸免

2月5日消息,据国外媒体报道,微软周三提醒用户,IE浏览器再曝新漏洞,最新版的IE8也未能幸免. 微软称,在特定情况下,该漏洞允许黑客获取用户计算机中所存储的文件.微软在一份安全声明中称:"如果用户使用特定版本的IE浏览器,即使在'安全浏览'模式下,黑客也可以获得所需文件,但前提是知道文件名和路径." 受影响的浏览器版本包括Windows 2000上的IE 5.01和IE 6,Windows 2000 SP4上的IE 6,Windows XP和Windows Server 2003上的