网络安全设备托管服务
统一威胁管理 (UTM)
托管式新世代防火墙 (NGFW)
托管式网站应用程式防火墙 (WAF)
网络安全
安全存取服务边缘 (SASE)
邮件安全
邮件防护服务
威胁检测服务
托管式安全服务 (MSS)
端点侦测及回应 (EDR)
流量监控及分析
用户和企业行为分析 (UEBA)
网络流量分析
安全回应服务
安全编排及自动化回应 (SOAR)
威胁搜捕服务
安全事件回应 (IR)
备份及灾难复原即服务
多功能托管云备份及灾难复原解决方案 (BRR)
2018-11-02

香港航空被发现其发出的电子登机证怀疑出现严重漏洞。只要修改电子登机证网址,即可查阅其他乘客的登机证号码及航班资料,更可透过官网进一步查阅该乘客的姓名、出生日期、证件号码及有效期等重要个人资料。
这正是 OWASP十大Web应用安全风险之一 A5:2017「失效的访问控制」,编程人员公开不安全的直接对象引用。事件中的航空公司,没有为电子登机证网址上的乘客资料可入加密编码,导致其他人有机会,用修改网址方法,未经授权取览乘客的个人资料。
为避免同类事件发生,建议企业处理敏感资料时,应严格监控及进行身份权限验证,降低骇客利用漏洞,未经验证或授权存取重要资料的风险。另外,不防定期为网络基建及网上应用,作一个全方位的资讯安全评估,侦测潜在的漏洞及威胁。
一般查询 / 销售热线 +60 3 2280 1500
客户服务热线 +60 03 2280 1488
Copyright © 中信国际电讯(信息技术)有限公司 CITIC Telecom International CPC Limited
恭喜您提交信息成功





