Возможная утечка данных.

Обсуждение продавцов на торговой площадке aliexpress.com

Модераторы: Lunat, pvsurkov, KSAT

Возможная утечка данных.

Сообщение Ответ:#1 » Art_2012 » 09 дек 2014, 13:57

Сегодня наткнулся на интересную новость на профильном ресурсе по безопасности. Дыру уже залатали, но. :-(

Уязвимость на сайте позволяет с легкостью получить персональную информацию пользователя даже без знания его учетных данных.

На сайте популярной торговой площадки AliExpress обнаружена критическая уязвимость, затрагивающая миллионы пользователей по всему миру. Как сообщило издание The Hacker News со ссылкой на израильского ИБ-эксперта Амитая Дана (Amitay Dan), эксплуатация бреши позволяет получать доступ к персональной информации пользователей.

Дан представил видео, демонстрирующее, как с помощью URL-адреса http://trade.aliexpress.com/mailingaddr ... sId=123456 авторизованный на сайте AliExpress пользователь может добавлять или обновлять адрес доставки товаров и контактный номер телефона. При этом 123456 – это ID авторизованного пользователя.

По словам эксперта, всего лишь изменив значение mailingAddressId, злоумышленник может с легкостью проэксплуатировать брешь в системе проверки на сайте. В результате на этой же странице отобразится контактная информация соответствующего пользователя. Атакующий может собрать личные данные миллионов пользователей AliExpress, используя скрипт для автоматического подбора чисел от 1 до 99999999999 в качестве значения ID на странице mailingAddress.htm.

Подробнее: http://www.securitylab.ru/news/462826.php

http://thehackernews.com/2014/12/aliexp ... ity_7.html
  • 0

Аватара пользователя
Art_2012
Интересующийся
 
Сообщения: 39
Зарегистрирован: 16 июл 2012, 15:09
Репутация: 3

Вернуться в aliexpress.com

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0

x

#{title}

#{text}