亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

訂機(jī)票是一件很簡單的事情，但你的權(quán)益保障仍取決于黑客是否要來搗亂。德國“安全研究實(shí)驗(yàn)室”的 Karstein Nohl 和 Nemanja Nikodejevic 指出，旅客訂票系統(tǒng)多年來一直未得到足夠的保護(hù)。實(shí)際上，全球三大處理航班預(yù)定服務(wù)的“全球分布式系統(tǒng)”（GDS），可通過多個(gè)方面被別有用心的人所濫用。

始建于 70-80 年代的 Amadeus、Sabre、Travelport 三套系統(tǒng)，承擔(dān)了全球超過 90% 的航班訂票任務(wù)。但它們只是結(jié)合了更多的現(xiàn)代 Web 基礎(chǔ)設(shè)施，而不是被全套替換，意味著系統(tǒng)的身份驗(yàn)證機(jī)制相當(dāng)脆弱。

GDS 通過 6 位數(shù)字作為預(yù)定代碼（PNR Locator），該 ID 被直接打印在了登機(jī)牌和行李標(biāo)簽上。

任意接近你行李（或看到旅客登機(jī)牌）的人，都可以輕松瞥到（或者用智能機(jī)拍張照）。

通過這一代碼， 即可訪問到完整的旅客信息：包括家庭和電子郵件地址、手機(jī)/信用卡號(hào)碼、常旅客編號(hào)、以及當(dāng)初在線預(yù)定該機(jī)票的 IP 地址等。

更糟糕的是，黑客甚至無需特定的 ID 來驗(yàn)證上述信息。無論 GDS 和航空公司網(wǎng)站，通常都不會(huì)限制代碼的訪問/檢查次數(shù)，因此理論上只要暴力攻擊就能蒙對(duì)一次。

此外，遍歷所有旅客的信息也相當(dāng)容易，因?yàn)樵?ID 就是順序排列的。對(duì)于攻擊者來說，這也極大地減少了他們搜尋特定時(shí)間段內(nèi)旅客信息的工作量。

想要解決這個(gè)問題，唯有提升系統(tǒng)的安全性，但方法其實(shí)非常簡單。研究人員的建議是，在線服務(wù)應(yīng)該限制每個(gè) IP 訪問旅客記錄的次數(shù)，并且通過 Captchas 圖形驗(yàn)證碼來斷絕暴力窮舉攻擊。

當(dāng)然，直接替換掉傳統(tǒng)的 6 位數(shù)字 ID 也是個(gè)好方法，只是實(shí)現(xiàn)需要的時(shí)間更長。