【网络安全】发现并披露全球最大航空公司平台的安全漏洞(一)

原创 已于 2025-04-24 14:25:02 修改 · 372 阅读 · 0 ·
CC 4.0 BY-SA版权
原创文章,禁止转载,否则保留追究法律责任的权利。
文章标签:

#web安全

于 2025-04-24 14:18:23 首次发布

未经许可,不得转载。
本文所述漏洞均已修复。

文章目录

在这里插入图片描述

引言

在 2023 年 3 月至 2023 年 5 月期间,我们在 Points.com 平台上发现了多个安全漏洞。Points.com 是众多航空公司和酒店会员奖励计划的后端服务提供商。相关漏洞可能被攻击者利用,从而获取用户的敏感账户信息,包括姓名、账单地址、脱敏后的信用卡信息、电子邮箱、电话号码以及交易记录。更为严重的是,攻击者还有可能通过这些漏洞从用户账户中非法转移积分,甚至获得对全球管理员后台的未授权访问权限。

一旦攻击者成功入侵后台,将能够获取完整的管理权限,执行积分发放、奖励计划管理、客户账户操作等一系列管理员操作。

在收到我们的漏洞报告后,Points.com 团队迅速响应,在不到一小时内逐一确认了每条报告内容。随后,他们立即下线相关站点开展全面调查,并及时修复了所有已识别的安全问题。

在这里插入图片描述

报告概览

目录遍历漏洞致使可查询 2200 万条订单记录(2023 年 3 月 7 日)
我们提交的首个漏洞报告为一个未认证的 HTTP 路径遍历漏洞。攻击者可通过该漏洞访问一个内部 API,从中查询包含约 2200 万条订单记录的数据。这些记

了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全漏洞管理十大度量指标
网络安全
11-15 4920
当前,网络安全漏洞所带来的风险及产生的后果,影响到网络空间乃至现实世界的方方面面,通信、金融、能源、电力、铁路、医院、水务、航空、制造业等行业各类勒索、数据泄露、供应链、钓鱼等网络安全攻击事件层出不穷。因此,加强对漏洞管理的迫切性、重要性日趋突出。国家层面已经出台相关法律法规、标准规范,通信、金融等行业层面出台监管规定、管理规范,企业层面也正在逐步形成漏洞管理相关制度。
国内外网络安全政策动态(2025年3月)
WAJXY2021的博客
04-03 2945
2025年3月国内外网络安全政策动态
14、网络安全:从公司案例到黑客世界的深度剖析
h6j7k8l9p0的博客
09-28 49
本文深入剖析了多起重大网络安全事件,包括Code Spaces、Mt Gox等企业因黑客攻击破产的案例,以及人事管理办公室和孟加拉国中央银行的数据泄露与资金盗窃事件。文章探讨了网络恐怖主义对关键基础设施的威胁,解析了黑客术语的演变与黑帽、白帽、灰帽黑客的分类,揭示了黑客社区的运作方式。同时,围绕‘透明公民’现象展开隐私与安全的争论,分析苹果与FBI在加密设备上的博弈。最后总结了企业和个人应采取的网络安全防护措施,展望了人工智能、物联网和量子计算带来的未来挑战与趋势,呼吁全社会提升网络安全意识,共同构建安
2025 网络安全新态势:从危机案例洞察防护变革
2301_78846431的博客
06-11 4180
2024 年,网络安全危机四伏。微软邮箱遭入侵、CrowdStrike 更新致系统崩溃、黎巴嫩寻呼机爆炸等重大事件频发,覆盖科技、医疗、交通等多领域,暴露出多因素认证缺失、软件漏洞、供应链安全等问题。步入 2025 年,网络安全呈现 AI 双刃剑效应凸显、零信任架构兴起、量子计算威胁加密体系、物联网安全受关注、体系化建设重要性提升等趋势。为此,企业与个人需强化意识培训、完善制度、升级技术防护,以应对复杂网络安全挑战,守护数字安全
[ 网络安全介绍 3 ] 网络安全事件相关案例有哪些?
qq_51577576的博客
11-14 3007
[ 网络安全介绍 3 ] 网络安全事件相关案例有哪些?
从零开始!带你深度剖析网络安全
A564205943的博客
08-09 1040
网络安全作为数字时代的重要保障,其定义涵盖了对网络系统硬件、软件及数据的全面保护。从个人隐私和财产安全,到企业的生存与发展,再到国家关键基础设施的稳定运行,网络安全的重要性贯穿各个层面。然而,我们也必须清醒地认识到,网络安全正面临着来自技术快速发展、人为因素以及法律法规滞后等多方面的严峻挑战。云计算、物联网、人工智能等新技术的广泛应用,在带来便利的同时,也引入了新的安全风险;人为的疏忽和违规操作,以及网络钓鱼等社会工程学攻击,使得网络安全防线更加脆弱;
怎么做到转行网络安全月薪2万?
chengxuyuanyy的博客
12-29 816
网络安全行业前景广阔,人才缺口大薪资高 近年来,网络安全行业快速发展,成为国家战略型资源。数据显示,我国网络安全人才缺口高达95%,岗位需求达70万,而高校培养仅3万人/年。行业平均月薪过万,部分岗位年薪可达百万,且呈现"越老越吃香"的特点。 随着《网络安全法》等政策落地,政企单位纷纷组建独立安全部门。岗位涵盖渗透测试、安全管理、应急响应等方向,Web安全、云安全等领域需求旺盛。 零基础学习者可通过1个月系统学习掌握渗透测试基础,6-15k起步;进阶需编程能力,建议学习Python等语言
东航建设漏洞管理平台的探索实践
qq_18209847的博客
04-03 6767
、法律法规下的漏洞管理要求 漏洞是网络攻防的战略性资源。 近年美国颁布了系列有关漏洞披露管理的相关规定和法案,其对漏洞披露管理十分严格谨慎。不难看出,美国早已将漏洞视为网络军火进行挖掘收集和严格管控。作为在漏洞管理链条中扮演重要角色的网络安全企业,也应利用自身安全技术和人才优势,在漏洞的挖掘、修复和处置中发挥更加重要的作用,提高国家和社会网络安全防护水平。 1.1 国内法规要求 目前国内存在的部分关于漏洞的管理规定: 2019年6月1日:工信部《网络安全漏洞管理规定(征求意见稿)》已更新 20
转行网络安全月薪2万,怎么做到的?
2401_85280106的博客
11-28 561
近年来,越来越多朋友寻找新的职业发展机会,开始将目光聚焦到了网络安全产业。前两天吃饭跟帮朋友闲聊,得知曾起共事的运维同事找到新工作,入职了家专门做网络安全产品的公司,每月税后到手2w多,顿时引发了饭桌上场关于安全行业的讨论。有人就提出,选择比努力重要,其实大家水平差不多,机会总是留给有准备的人,多学点傍身技还是挺重要的。那么,话说回来,
16、网络安全的商业考量
sony5的博客
09-03 55
本文探讨了网络安全事件在商业层面的实际影响,涵盖对股价、内部成本和声誉的多维度分析。研究显示,安全漏洞带来的财务与市场冲击往往被行业夸大,股价波动通常是短期的,内部修复成本普遍可控,而声誉损失受社会建构和公众反应框架的影响较大。文章指出企业应理性对待网络安全投资,避免受不实数据误导,根据不同规模制定合理的投资策略。最后提出科学的投资决策流程:从风险评估到实施监控,帮助企业实现安全投入与业务发展的平衡。
12、网络安全:历史、工具、角色与益处全解析
solidity8miner的博客
09-04 48
本文全面解析了网络安全的历史、工具、角色与益处。从回顾现代著名的网络攻击事件,到介绍主流的网络安全工具,深入探讨了网络安全在企业中的重要角色及其带来的益处。文章还结合金融和电商行业的实践案例,分析了网络安全的实际应用,展望了未来网络安全的发展趋势。无论对于企业还是个人,网络安全都是数字化时代不可或缺的重要课题。
8、计算机与网络安全:犯罪防范与法规遵循
2a4s6d8f0g的博客
09-13 48
本文深入探讨了计算机与网络安全领域的犯罪防范与法规遵循问题,涵盖计算机取证、可信计算、IT安全政策的制定与实施,以及员工培训在安全体系中的关键作用。文章分析了网络安全的多维度挑战,包括应用程序安全、数据保护、云安全和移动安全等子领域,详细介绍了美国、欧洲和亚洲的主要网络安全法律法规。同时,探讨了人工智能、零信任架构、区块链和物联网安全等技术发展趋势,强调企业需建立多层次防护体系加强人才培养。最后,文章展望了未来网络安全的挑战与应对策略,指出只有通过技术、法规与人力的协同努力,才能构建安全可靠的数字环境。
小迪安全_第4天:基础入门-30余种加密编码进制&Web&数据库&系统&代码&参数值|小迪安全笔记|网络安全|
weixin_45635831的博客
12-30 430
综合性加密平台:支持大部分常见加密算法,但部分特殊加密需要借助其他平台主要功能:提供MD5、SHA1等加密算法的反向查询服务数据库规模:记录约90万亿条,占用硬盘超过500TB查询成功率:全球领先,达95%以上,部分复杂密文仅该平台可查运营时间:自2006年运行至今,国内外享有盛誉识别能力:掌握各种加密方式的识别方法和特征应用场景:了解不同加密算法在实际中的应用场景解决思路:明确解密所需条件和可能遇到的限制。
新规解读:2025 年修正版《中华人民共和国网络安全法》核心变化解读
meidaoliha的博客
12-30 447
强化新兴技术安全监管:将人工智能纳入法律框架,明确技术研发与伦理规范行的发展路径。强化关键主体责任:针对关键信息基础设施运营者、网络产品服务提供者设置更严格的义务与处罚标准。强化法律体系衔接:与《数据安全法》《个人信息保护法》《人工智能法(草案)》形成协同,构建全方位的网络安全法治体系。对行业而言,修正版的实施将推动网络运营者加大安全投入,加速人工智能安全技术的研发与应用,同时倒逼企业完善数据治理与合规管理体系,为我国数字经济高质量发展筑牢安全屏障。新修正法规见上篇文章。
【小迪安全web安全|渗透测试|网络安全|SRC挖掘|学习笔记|2021|
weixin_45635831的博客
12-25 637
批量挖掘流程:FOFA收集目标(50万+域名)xray批量扫描(万分之命中率)人工验证漏洞真实性提交漏洞平台源码审计优势:能深度分析算法逻辑和安全机制黑盒测试要点:常规漏洞扫描JS接口探测三方组件分析经济因素考量:部分售卖系统可能需要购买授权才能获取测试权限开发语言特征:JAVA开发系统常将核心部分封装到dll或jar文件中反编译工具:使用dnSpy等工具对编译文件进行反编译分析。
计算机网络 (郑烇) 8 网络安全
qq_44845100的博客
12-28 149
AI正在重塑网络安全:自动化渗透测试如何让企业“先攻后防”?
2501_93360277的博客
12-25 1140
而AI智能自动化渗透测试系统,融合前沿人工智能技术与多年实战攻防经验,将复杂的黑客攻击路径高度标准化、流程化,实现从资产发现漏洞探测、利用验证,到报告生成、溯源分析的。系统内置针对WebLogic、OA系统、物联网、工控设备等高危场景的专项插件,支持“目标盲打”和自定义参数配置,跳过冗余步骤,直击漏洞核心。选择套专业的AI渗透测试系统,就是为您的数字业务装上“智能雷达”与“自动盾牌”,在攻防对抗中牢牢掌握主动权,筑牢高质量发展的安全基石。全面、准确的资产画像,是构建有效防御体系的第步。
小迪安全笔记_第4天|扩展&整理|30+种加密编码进制全解析:特点、用处与实战识别指南|小迪安全笔记|网络安全|
最新发布
weixin_45635831的博客
12-30 682
"32位MD5/NTLM,40位SHA1,64位SHA256;Base64带=,URL带%,Hex无符号,JSFuck全符号!"MD5存密码?漏洞在手!Base64当加密?直接解码走!NTLM看ccef,SHA256更安全
7. 网络安全-等保
princemilo的博客
12-29 757
国家要求信息系统(网站、APP、云平台等)进行分等级的保护。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值