Top
首页 > 网络和信息安全 > 重磅推荐 > 正文

Nike其下网站被爆漏洞 疑似泄漏服务器数据

据外媒报道,运动服装和数据巨头Nike其下的一个网站存在漏洞,允许任何人使用代码来读取服务器数据,从而获得多的访问权限,甚至可能黑入该公司系统造成更严重的后果。
发布时间:2018-03-09 11:34        来源:赛迪网        作者:yao

【赛迪网讯】据外媒报道,运动服装数据巨头Nike其下的一个网站存在漏洞,允许任何人使用代码来读取服务器数据,从而获得多的访问权限,甚至可能黑入该公司系统造成更严重的后果。

为何说Nike是数据巨头?

在过去的几年里,Nike公司一直在积极推进数据收集相关事宜,通过对运动产品的升级以及创建自己的可穿戴设备产品线,将运动服饰与可穿戴设备整合在了一起。此外登录Nike官网的用户名和密码,所填写的收货信息等同样是重要个人数据信息。

漏洞的确存在 现已被修复

存在漏洞的网站名为MyNikeTeam.com,该漏洞被发现于2017年年底,由一名叫做Corben Leo的18岁研究人员爆出。该漏洞基于一个带外XML的外部实体(OOB-XXE)漏洞,其利用了Nike的网站解析基于XML的文件。OOB-XXE漏洞可用来非法访问服务器,由于其复杂程度、执行难度较高,但一旦访问到服务器的文件,攻击者就可“大开杀戒”,譬如:执行远程代码或转向其他连接的服务器或数据库。

据Corben Leo本人透露,在发现漏洞后第一时间通过公司电子邮件联系了Nike公司,但在三个多月的时间里没收到任何回复的消息,随后Corben Leo联系了媒体,通过报道提醒了Nike公司事情的严重性。

近期Nike官方也做出了回应,耐克发言人证实了这一缺陷的确存在,但并未对该公司的其他系统造成风险,并表示该网站为试点网站,去年上线过数月,并被托管在一个独立的服务器上,现在已经下线,用户无需担心此类问题。

专题访谈

合作站点
stat