作者milkypine (小纯葛格)
看板FORMULA1
标题[情报] 热心粉丝回报能发现车手资料的FIA安全性漏洞
时间Thu Oct 23 21:57:05 2025
https://ian.sh/fia
https://x.com/galnagli/status/1981059382080323634
三位刚好是F1粉丝的骇客galnagli、samwcyo和iangcarroll近日在FIA的网站上发现安全漏?
他们从管理FIA车手的网站「drivercategorisation.fia.com」入手并取得管理者权限
https://i.imgur.com/WKHnZRX.png
他们以Max Verstappen为例,网站显示了其护照、履历、驾照、密码杂凑和个人识别资讯
甚至还能查阅所有与车手分类相关的内部通讯,包括他们表现的评论以及委员会的相关决策
在他们回报後,FIA已修复相关漏洞
赛事干事没钱请专人
网站设计一蹋糊涂
车手罚款突破天际
啊这些到底都花在哪啊???
-----
Sent from JPTT on my Google Pixel 9 Pro XL.
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.231.173.109 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/FORMULA1/M.1761227829.A.9B6.html
※ 编辑: milkypine (61.231.173.109 台湾), 10/23/2025 21:58:29
1F:推 WindSpread: 5万欧拿去吃豪华晚餐惹 10/23 21:59
2F:推 gungriffon: 好像一直都没交待罚款去向? 10/23 22:31
3F:推 LIEN2021: 还好是热心车迷 10/23 22:35
4F:推 Vincent8026: 这种事不罕见啦,有学生从学校系统简单手法弄出上千 10/23 23:45
5F:→ Vincent8026: 张护照身分证,寄给学校高层 10/23 23:45
6F:→ Vincent8026: 推动资讯安全的方式永远都是直接让他出包 10/23 23:46
7F:推 WEight22: 白帽骇客在很多业界应该都有? 10/24 00:01
8F:推 Scent56: 还好没去把车手名字改成Firstname Lastname 10/24 00:10
9F:→ Vincent8026: 他的漏洞就是把权限做在浏览器端 10/24 03:34
10F:→ Vincent8026: 浏览器端跟伺服器端说自己是啥权限,伺服器可能就信 10/24 03:35
11F:→ Vincent8026: 被测试出规则後就拿到最大权限了 10/24 03:35
12F:→ Vincent8026: 6/3骇客通知,当天系统下线, 6/10修复 10/24 03:36
13F:→ Vincent8026: 6/22公开揭露10/24 03:36
14F:→ Vincent8026: *10/22公开揭露10/24 03:36
15F:推 Vincent8026: 跟之前某家台湾客运业者一样,在浏览器端算金额10/24 03:40
16F:→ Vincent8026: 伺服器端又不检查,真的开出票10/24 03:41
感谢补充,我真的太久没碰了所有只写大概
17F:→ ken720331: 直接打脸是最好的10/24 06:33
※ 编辑: milkypine (122.147.151.253 台湾), 10/24/2025 08:51:45