企业存储用户明文密码到底有没有错?乌云君觉得如果能保管好这些密码安全倒也无妨,可试问国内有几家公司能拍胸脯承诺做的到?所以还请企业不要尝试存储这些明文密码数据,小心别成全了黑客,也给其他行业带来灾难!
在无数的企业这两年都经历了“拖裤”的惨痛教训后,现在依然有很多企业不信邪,还是义无反顾的在记录用户的明文密码,而且还无能力保护住密码,成为黑客惦记的目标,比如:搜房网的某线上系统。
这个漏洞真的很不应该,因为漏洞源自2013年乌云疯狂预警的Struts2命令执行漏洞,没错都2015年了,搜房网还存在这个漏洞。
乌云白帽子利用这个漏洞看了下网站当前目录,惊讶的发现最起码一个月前就有黑客进来了,留下了后门程序。乌云白帽发现这台漏洞服务器竟然身处搜房网的内部网络,内部网络中发现了用户数据库!
9W用户信息!
18W用户信息!!
634W用户信息!!!
更令人愤怒的是,都这年头了,用户密码居然还明文保存!现在不是用户不信任企业,而是企业一次又一次的让我们失望至极。多个黑客后门+明文储存密码,这些互联网企业啊,你怎么让用户放心使用?
漏洞编号:WooYun-2015-121277,点击原文可查看细节
本文始发于微信公众号(乌云漏洞报告平台):搜房网发现黑客后门可能导致750万用户明文密码泄露
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论