严重错误导致新布达佩斯电子票务不安全

BKK(布达佩斯交通中心)本周推出了在线门票和租赁购买界面。 指数11选5走势图,但周五报道称,该系统存在粗糙的安全缺陷。除此之外,还有一个“基本黑客” 任何人都可以以他想要的钱获得租约。

Index的记者发了一条伦理黑客的言论,随后又被其他几位独立专家证实,BKK不久后就对这一消息做出了回应:

“BKK 可悲地经历了 安装成功 他们补充说,昨天推出的新在线销售渠道的正确使用不断受到网络攻击的影响。 “该系统在启动阶段开始使用自动滥用监控功能运行,该功能可以检测此类尝试并立即触发行动”

然而故事并没有就此结束,越来越多的业余安全错误在网上警告我们,24。hu还收到了一位专家的评论,他强调了几个不好的安全设置。除此之外, BKK购票系统 将用户的密码存储为原始文本,它不会散列它们。因此,使用最常见的密码(例如 123456),

yi下就可以轻易的闯入别人的账户。

另外,登录信息也不安全,密码是通过HTTP请求参数传输的,所以它也出现在用户和服务器之间的代理服务器上,有人在Tumblr上警告说,系统操作员已经留下了admin用户名emadminadmin密码对,因此恶意用户很容易访问或滥用所有用户的所有个人信息,当然,他们会立即向BKK报告错误。

但这还不是全部:专家 24.hu also wrote that,通过注册帐户修改个人资料,可以编辑页面的源代码,因此可以获得任何用户的任何数据,包括密码,最后,您还可以通过输入一个坏密码来获取密码,如果密码被遗忘,您还可以从返回的服务器响应中获取系统通过电子邮件发送的确认码。

照片:MTI

Ce:bm