【赛迪网讯】据外媒报道,运动服装和数据巨头Nike其下的一个网站存在漏洞,允许任何人使用代码来读取服务器数据,从而获得多的访问权限,甚至可能黑入该公司系统造成更严重的后果。
为何说Nike是数据巨头?
在过去的几年里,Nike公司一直在积极推进数据收集相关事宜,通过对运动产品的升级以及创建自己的可穿戴设备产品线,将运动服饰与可穿戴设备整合在了一起。此外登录Nike官网的用户名和密码,所填写的收货信息等同样是重要个人数据信息。
漏洞的确存在 现已被修复
存在漏洞的网站名为MyNikeTeam.com,该漏洞被发现于2017年年底,由一名叫做Corben Leo的18岁研究人员爆出。该漏洞基于一个带外XML的外部实体(OOB-XXE)漏洞,其利用了Nike的网站解析基于XML的文件。OOB-XXE漏洞可用来非法访问服务器,由于其复杂程度、执行难度较高,但一旦访问到服务器的文件,攻击者就可“大开杀戒”,譬如:执行远程代码或转向其他连接的服务器或数据库。
据Corben Leo本人透露,他在发现漏洞后第一时间通过公司电子邮件联系了Nike公司,但在三个多月的时间里没收到任何回复的消息,随后Corben Leo联系了媒体,通过报道提醒了Nike公司事情的严重性。
近期Nike官方也做出了回应,Nike发言人证实了这一缺陷的确存在,漏洞并未对该公司的其他系统造成风险,并表示该网站为试点网站,去年上线数月,并被托管在一个独立的服务器上,现在已经下线,用户无需担心此类问题。