世界级连锁酒店——希尔顿酒店官网上曝CSRF(跨站请求伪造)漏洞,虽然CSRF漏洞在大多数安全研究者眼中算不上“高危”,但这枚漏洞的影响可并不小。
世界级连锁酒店大亨——希尔顿近期推出了一项活动——为了鼓励用户勤换密码提高安全意识,在4月1日前更改账号密码,就能获得1000个免费积分。然而非常讽刺的是,安全研究人员在这个推广功能上发现了一枚CSRF漏洞——攻击者只要知道或者猜到了荣誉会员9位数的会员卡号就能任意劫持其账号。
该漏洞是由安全咨询与测试公司Bancsec的技术咨询员Brandon Potter和JB Snyder发现。
通过CSRF漏洞劫持受害者账号之后,攻击者能看到用户的所有信息,还可更改其信息:包括更改账号密码,预览之前浏览过的网页,兑换希尔顿积分,预定酒店,将积分兑现到一个银行卡上或者转到另一个荣誉会员账号上等。该漏洞还会泄露用户的邮箱账号、家庭住址,甚至是信用卡的后4位数。
该CSRF漏洞被标记为危险的另一个原因,是因为当用户在网站修改密码时,已登录的用户无需重新输入他们原来的密码。
Krebs只是给了Potter和Snyder他的账号,几秒钟之后,他们就登进了Krebs的账号,并截下了证明图片。几小时之后,他们就把这一问题反馈给了希尔顿公司,公司当即停止了用户更改密码的功能。
攻击者之所以可以很快的枚举出荣誉会员的会员卡号,是因为网站上有个PIN码重置页面,它会自动告诉你任意9位数的账号是否是有效账号,这就大大减轻了工作量。如果没有它的帮助,这上亿种数字组合不知道要测试多久呢。
Snyder称该问题源于一个普通的web应用程序漏洞——CSRF(跨站请求伪造)漏洞,当已登录希尔顿酒店的用户访问包含恶意代码的web网站、邮件、及时消息,那么就会导致上面所说的一系列的攻击行为。
目前希尔顿已经修复了这一漏洞,并规定用户不可使用PIN码作为密码了。网站要求用户在设置密码时要至少有8字节的长度,并且要至少包括一个大写字母、一个数字或者特殊字符。
文章来源:FreeBuf黑客与极客(FreeBuf.COM)