SlickWraps的网站漏洞百出

1、你需要知道的是：

2、据报道，SlickWraps中存在一个严重的漏洞，这可能使任何有知识的攻击者能够使用其网站访问客户数据等。

3、该公司还拒绝了安全研究人员修复漏洞的尝试。

4、研究员Lynx0x00自己做的，用漏洞授予功能警告客户漏洞。

5、安全很难。即使在像脸书和推特这样的公司，所有在这里工作的聪明人和失败的高风险仍然不时有数据泄露。以销售可爱的手机和笔记本电脑套装而闻名的SlickWraps也会遇到自己的漏洞，这并不奇怪。

6、更令人担忧的是，该公司采取了积极行动，无视安全研究人员的警告，并根据法律要求避免向客户传达违规行为。

7、Lynx0x00在一部充满波折的惊艳作品中分享了Medium上所有的脏东西。

8、以下是一些重要的摘录：

9、关于他如何访问SlickWraps数据库的信息：

10、这个【手机案例定制】页面包含了一个不可原谅的漏洞：任何拥有合适工具包的人都可以将任何文件上传到自己服务器上顶层目录(即“网络根目录”)的任何位置。从那里，简单。Htaccess文件已上传，因此您可以找到以下路径：

11、SlickWraps现有和前任员工的简历(包括自拍、电子邮件地址、家庭地址、电话号码等。)

12、SlickWraps手机壳定制工具上传的9GB个人客户照片(包括客户上传色情内容的备份)。

13、因为SlickWraps公开地忽略了任何形式的操作安全性，所以我可以轻松地实现远程代码执行，并解锁执行Shell命令的能力。对于初学者来说，执行shell命令的能力类似于获得一把万能钥匙。它可以打开一切。

14、他可以访问以下内容：

15、我可以添加自己为他们的Zendesk平台的所有者。现在，我可以在收件箱中接收绑定到多个SlickWraps帐户的电子邮件。我只需要发送密码重置和进一步解锁：

16、完全访问他公司的Slack团队——，其中包含135，000条历史消息。

17、其支付网关(PayPal和Braintree)的活期账户余额和交易日志。

18、我发现他们的管理员面板(即SlickWraps员工和经理用来提取报告和管理SlickWraps网站内容的界面)被毫无意义的防火墙漫不经心地保护起来(请记住：我有“万能钥匙”)。我将自己添加为管理员用户，并立即获得了对其内容管理系统的完全控制。

19、本质上，任何访问此漏洞的人都可以随意使用SlickWraps用户的数据。这是一个非常非常严重的漏洞。

20、看来你的当事人不满意。不会让它变得更好。pic.twitter.com/UQNwImpMSN.

21、-lynx(@ lynx 000)2020年2月16日

22、并不是说SlickWraps没有意识到这个漏洞。Lynx详细介绍了几种联系他们的尝试，从细微到最直接的尝试。每次，他不仅被拒绝，最终还被SlickWraps的推特账户签约了两次。对公司不太好。据报道，尽管该公司试图清理其暴露的区域，但仍然留下了漏洞。这有点像换了一个房子的门，却留下了同样的旧锁。花了很大力气，但收效甚微。

23、Lynx对活动的进行方式感到困惑。Lynx写道：

24、我仍然不明白为什么SlickWraps没有简单地与我沟通，以找出基本漏洞的原因。他们没有遵守告诉客户隐私的义务，这让我越来越沮丧。为了了解这种数据泄露的严重性，请注意，如果内部数据泄露没有通知客户，可能会导致高达2000万欧元的行政罚款或公司全球年营业额的4%(以较高者为准)。

25、一个主要的安全漏洞不好，但很容易修复。然而，当你的整个公司建立在成千上万个微小但同样致命的缺陷上，而你又增加了另一个重大缺陷时，我不确定这个问题能否解决。我不知道他们到目前为止是如何发展的。

26、-lynx(@ lynx 000)2020年2月18日

27、犯错是很自然的。每个人都不时这样做。真正的性格标准是你对被发现的反应。SlickWraps通过了各种振动检查，