据BleepingComputer报道，本田的汽车和其他部门没有受到影响;仅草坪和花园硬件平台被发现存在缺陷。

该研究人员(最近发现属于丰田的不安全数据库的研究人员)表示，密码重置API允许他重置有价值帐户的密码，并使用它们访问本田经销商子域中的管理级信息。

但测试帐户没有所有必要的数据-他仍然需要访问实际帐户。事实证明这非常容易，他在没有惊动任何人的情况下成功完成了任务。由于平台上的用户ID是按顺序分配的，他所要做的就是将用户ID加1，直到没有任何其他结果为止。

“只需增加该ID，我就可以访问每个经销商的数据。底层JavaScript代码会获取该ID，并在API调用中使用它来获取数据并将其显示在页面上。值得庆幸的是，这一发现使得不再需要重置密码变得毫无意义。”。研究员伊顿·兹维尔说。

最后，在修改HTTP响应以使其看起来像是管理员后，他获得了本田管理面板的访问权限，这反过来又使他能够无限制地访问其中包含的敏感数据。

免责声明： 本文来源网友投稿及网络整合仅代表文章作者的个人观点，与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺，请读者仅作参考，并自行核实相关内容。投诉邮箱：1765130767@qq.com。
本文地址：https://www.wangmingwu.com/news/155250.html