PTT體育區 / FORMULA1 (F1 賽車)

[情報] 熱心粉絲回報能發現車手資料的FIA安全性漏洞

看板FORMULA1 (F1 賽車)作者 (小純葛格)時間6小時前 (2025/10/23 21:57), 6小時前編輯推噓7(709)
留言16則, 6人參與, 1小時前最新討論串1/1
https://ian.sh/fia https://x.com/galnagli/status/1981059382080323634 三位剛好是F1粉絲的駭客galnagli、samwcyo和iangcarroll近日在FIA的網站上發現安全漏? 他們從管理FIA車手的網站「drivercategorisation.fia.com」入手並取得管理者權限 https://i.imgur.com/WKHnZRX.png
他們以Max Verstappen為例,網站顯示了其護照、履歷、駕照、密碼雜湊和個人識別資訊 甚至還能查閱所有與車手分類相關的內部通訊,包括他們表現的評論以及委員會的相關決策 在他們回報後,FIA已修復相關漏洞 賽事幹事沒錢請專人 網站設計一蹋糊塗 車手罰款突破天際 啊這些到底都花在哪啊??? ----- Sent from JPTT on my Google Pixel 9 Pro XL. -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.231.173.109 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/FORMULA1/M.1761227829.A.9B6.html ※ 編輯: milkypine (61.231.173.109 臺灣), 10/23/2025 21:58:29
10/23 21:59, 6小時前 , 1F
5萬歐拿去吃豪華晚餐惹
10/23 21:59, 1F
10/23 22:31, 6小時前 , 2F
好像一直都沒交待罰款去向?
10/23 22:31, 2F
10/23 22:35, 6小時前 , 3F
還好是熱心車迷
10/23 22:35, 3F
10/23 23:45, 5小時前 , 4F
這種事不罕見啦,有學生從學校系統簡單手法弄出上千
10/23 23:45, 4F
10/23 23:45, 5小時前 , 5F
張護照身分證,寄給學校高層
10/23 23:45, 5F
10/23 23:46, 5小時前 , 6F
推動資訊安全的方式永遠都是直接讓他出包
10/23 23:46, 6F
10/24 00:01, 4小時前 , 7F
白帽駭客在很多業界應該都有?
10/24 00:01, 7F
10/24 00:10, 4小時前 , 8F
還好沒去把車手名字改成Firstname Lastname
10/24 00:10, 8F
10/24 03:34, 1小時前 , 9F
他的漏洞就是把權限做在瀏覽器端
10/24 03:34, 9F
10/24 03:35, 1小時前 , 10F
瀏覽器端跟伺服器端說自己是啥權限,伺服器可能就信
10/24 03:35, 10F
10/24 03:35, 1小時前 , 11F
被測試出規則後就拿到最大權限了
10/24 03:35, 11F
10/24 03:36, 1小時前 , 12F
6/3駭客通知,當天系統下線, 6/10修復
10/24 03:36, 12F
10/24 03:36, 1小時前 , 13F
6/22公開揭露
10/24 03:36, 13F
10/24 03:36, 1小時前 , 14F
*10/22公開揭露
10/24 03:36, 14F
10/24 03:40, 1小時前 , 15F
跟之前某家台灣客運業者一樣,在瀏覽器端算金額
10/24 03:40, 15F
10/24 03:41, 1小時前 , 16F
伺服器端又不檢查,真的開出票
10/24 03:41, 16F
更多 milkypine 的文章
文章代碼(AID): #1e-ZGrcs (FORMULA1)
FORMULA1 近期熱門文章
更多 近期熱門文章 >>
PTT體育區 即時熱門文章
更多 即時熱門文章 >>
更多 milkypine 的文章
文章代碼(AID): #1e-ZGrcs (FORMULA1)