安基网 欢乐生肖 资讯 安全报 查看内容

微软招聘网站曝数据泄露安全漏洞

2016-2-14 10:34| 投稿:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 微软刚刚为自家移动版招聘网站封堵了一个注册用户信息泄露漏洞,以帮大公司追索错误配置部署的MongoDB在线数据库而知名的安全研究人员Chris Vickery发现了这一问题(且与他此前的多个发现类似)。此前,Vickery曾帮M ...

微软刚刚为自家移动版招聘网站封堵了一个注册用户信息泄露漏洞,以帮大公司追索错误配置部署的MongoDB在线数据库而知名的安全研究人员Chris Vickery发现了这一问题(且与他此前的多个发现类似)。此前,Vickery曾帮MacKeeper找到了泄露超过1300万用户细节的漏洞,该公司在感动之余给还给了他一个职位。

微软、Ritz、万豪等网站均受到了影响。

根据MacKeeper网站上的一篇博客文章,Vickery已经披露了帮助微软确保可通过互联网获取到的MongoDB数据库的安全细节(无需密码且允许攻击者修改内容)。

其中提到的数据库属于Punchkick Interactive(一家移动Web开发公司),微软将移动版招聘网站的开发交给了它。

除了微软,同样的数据库问题还影响到了该公司的许多其它客户,比如万豪和丽思卡尔顿酒店。

攻击者可读取、亦可写入数据库内容。

尽管暴露所有注册用户信息已经很糟糕,但该漏洞更危险的地方却在于能够获得数据库的写入访问权限、插入恶意内容、以及将之嵌入到网站本身。

这种情形可导致经典的“下载型攻击”,因为黑客很容易找到让恶意软件难以被检测到的方法。万幸的是,在Vickery通过邮件告知风险之后,Punchkick在一个小时内就极速修复了它。


Tag标签:

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

刚表态过的朋友 (1 人)

  • 握手

    匿名

相关阅读

最新评论

 最新
返回顶部
PK10牛牛 极速快3 广东11选5走势图 幸运飞艇官网 福建快3走势 快乐赛车 极速快乐8 澳洲幸运8 贵州快3 左右棋牌