0'48''

7

四川电视台

腾讯科技 雷建平 3月25日报道

漏洞报告平台乌云网最近连续披露两个携程网安全漏洞，称携程安全支付日志可被任意读取，日志可以泄露包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码等信息。

携程解释称，安全漏洞是由于技术开发人员为排查系统疑问而留下临时日志，并由于疏忽未及时删除。不过，据知情人士透露，一旦掌握目录遍历，攻击者能超过服务器根目录，从而访问到文件系统的其他部分，访问受限制文件或资源，或采取更危险行为。

此次暴露出的“隐私泄露”问题并非携程一个企业存在，7天等连锁酒店去年就被曝出存在系统安全漏洞，导致2000万用户身份证、手机、住址及开房时间等信息遭到泄露。

如家、汉庭、咸阳国贸大酒店、杭州维景国际大酒店、驿家365快捷酒店、东莞虎门东方索菲特酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统，而慧达驿站在其服务器上实时存储这些酒店客户的记录，包括客户名(两个人的话都会显示)、身份证号、开房日期、房间号等大量敏感、隐私信息。

结果因为某种原因，这些信息是可以被黑客拿到的。漏洞的根源在于慧达驿站公司管理机制的不完善，因为他们的系统要求酒店在提交开放记录的时候进行网页认证，但不是在酒店服务器上，而要通过慧达驿站自己的服务器，理所当然地就存下了客户的信息。

另外，客户信息数据同步是通过http协议实现，需要认证，但是认证用户名、密码是明文传输，各个途径都可能被轻松嗅探到，用这个认证信息可从他们数据服务器上获得所有酒店上传客户开房信息。

一家安全专家就曾以如家为例，指出黑客如何可以利用这些漏洞通过远程入侵渗透方式获取目标服务器权限，并以此盗取用户敏感数据信息。

以7天连锁酒店WLAN账号管理系统为例，安全专家对该系统分析过程中，发现该系统应用Structs2框架。而Structs2框架在曾被公布存在严重的远程命令执行和重定向漏洞。

安全专家选择一个URL地址进行Structs2漏洞测试。根据已公布漏洞利用方法，尝试进行远程命令执行漏洞的利用，尝试执行命令whoami，即尝试获取当前用户的用户名信息。

安全专家再构造URL地址。该URL的作用是：如果目标系统存在Structs2远程命令执行漏洞，则系统会执行我们预设的whoami命令，并将命令执行的结果信息反馈给安全专家。

在浏览器中提交该URL信息后，安全专家发现可以获取当前用户名信息，也就证明该系统存在严重的Structs2远程命令执行漏洞。