北京赛车倍数_倍率图_中奖倍数

加入收藏  设为首页

服务热线:4001000000



北京赛车开奖

FTD.com漏洞泄漏了个人信息


棋牌大全下载攻略 互联网和电子商务咨询服务公司Fusion Alliance的信息安全分析师Gerald Quakenbush说,这个缺陷允许一个人使用修改后的“cookie”来轻松访问公司服务器上的客户信息。 Cookie是驻留在个人计算机上的数据片段,将该PC与Web上的信息和个性化网站相关联。  “你可以从网站上窃取任何客户的信息,”Quakenbush周四在情人节前夕接受CNET News.com采访时表示。他补充说,安全问题通过更改一个简单的号码来暴露客户账单记录,包括姓名,地址和电话号码。特定客户无法通过名称进行定位,只能通过更改FTD.com Cookie中的数字来随机定位。 FTD.com周四晚间证实了这个问题。 “我们已经发现,黑客可以恶意和非法访问网站的某些级别,”FTD.com执行副总裁丹·史密斯说。 Quakenbush表示截至周三信用卡号码正在暴露,但史密斯否认了这一说法,将泄露的数据描述为“联系信息”。 “我们根本没有验证信用卡号码可能被盗,”史密斯说,并补充说这个漏洞已被修复。 Quakenbush周二发现了这个漏洞,当时一名试图从FTD.com订购鲜花的同事发现其他人的信息出现在他的浏览器中。 Quakenbush发现,单独的计算机只需将cookie数据从一台PC复制到另一台PC即可访问客户数据。此外,FTD.com电子商务系统使用的标识符似乎是连续的,而不是随机的,这使得更容易猜出其他有效cookie的数量,他说。 他解释说,客户交易的可预测标识符和非加密交易的网站允许量的组合可以允许任何人猜测先前客户交易的有效标识符,从而查看客户和信用卡信息。 安全研究员周三向安全邮件列表NTBugTraq发送了一份咨询棋牌官方下载通知,以警告客户这一危险。随后发布了该通报,公开了信息。 “会话逻辑就像会话逻辑一样简单 - 他们使用整数来跟踪唯一访问者,整数只是从一个用户增加到另一个用户,”他在咨询中写道。 “要检索其他人的机密信息......只需传输一个简单的请求并改变cookie值即可读取客户数据。” 大多数使用过网络的人都可以进行攻击。 “任何读过'傻瓜HTML'的人都有这种攻击的先决条件,”Quakenbush说。 截至周四下午,至少有一位其他研究人员确认可以访问客户数据,包括姓名,地址和电话号码,但不能访问信用卡信息。华盛顿大学高级安全工程师David Dittrich证实,客户信息很容易从网站上挖掘出来。在进行研究时,他只访问了自己的记录和Quakenbush进入的记录。 两位研究人员推测,FTD.com实施了一种解决方法,禁止轻松访问信用卡号码。 FTD.com的史密斯没有承认该公司已采取任何对策,并补充道,“我们知道信用卡信息无法获得。”当问到周三信用卡信息是否易受攻击时,史密斯回答说:“据我所知。” 华盛顿大学的Dittrich说,即使该公司只公开了可能仍然存在危险的个人信息。 “他们通过简单地了解价值来提供一些客户信息的事实仍然是一个问题,”他说。 “因为我可以得到(某人)几天前做过的交易,这意味着竞争对手可以对该网站进行数据挖掘。” 他补充说,一个骗局的艺术家“带着那么多信息将是令人讨厌的”。 FTD.com的电子商务系统由加拿大公司Novator Systems创建,尽管FTD.com可能已经改变了系统。 Novator首席执行官马克福克斯不会对FTD.com问题发表评论,但他表示其他客户不会受到影响,并将所有问题提交给FTD.com。棋牌大厅
版权所有©北京赛车倍数_倍率图_中奖倍数 北京赛车冠亚军公式_大理旅行攻略_大理必去景点 0 网站地图