作者milkypine (小純葛格)
看板FORMULA1
標題[情報] 熱心粉絲回報能發現車手資料的FIA安全性漏洞
時間Thu Oct 23 21:57:05 2025
https://ian.sh/fia
https://x.com/galnagli/status/1981059382080323634
三位剛好是F1粉絲的駭客galnagli、samwcyo和iangcarroll近日在FIA的網站上發現安全漏?
他們從管理FIA車手的網站「drivercategorisation.fia.com」入手並取得管理者權限
https://i.imgur.com/WKHnZRX.png
他們以Max Verstappen為例,網站顯示了其護照、履歷、駕照、密碼雜湊和個人識別資訊
甚至還能查閱所有與車手分類相關的內部通訊,包括他們表現的評論以及委員會的相關決策
在他們回報後,FIA已修復相關漏洞
賽事幹事沒錢請專人
網站設計一蹋糊塗
車手罰款突破天際
啊這些到底都花在哪啊???
-----
Sent from JPTT on my Google Pixel 9 Pro XL.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.231.173.109 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/FORMULA1/M.1761227829.A.9B6.html
※ 編輯: milkypine (61.231.173.109 臺灣), 10/23/2025 21:58:29
1F:推 WindSpread: 5萬歐拿去吃豪華晚餐惹 10/23 21:59
2F:推 gungriffon: 好像一直都沒交待罰款去向? 10/23 22:31
3F:推 LIEN2021: 還好是熱心車迷 10/23 22:35
4F:推 Vincent8026: 這種事不罕見啦,有學生從學校系統簡單手法弄出上千 10/23 23:45
5F:→ Vincent8026: 張護照身分證,寄給學校高層 10/23 23:45
6F:→ Vincent8026: 推動資訊安全的方式永遠都是直接讓他出包 10/23 23:46
7F:推 WEight22: 白帽駭客在很多業界應該都有? 10/24 00:01
8F:推 Scent56: 還好沒去把車手名字改成Firstname Lastname 10/24 00:10
9F:→ Vincent8026: 他的漏洞就是把權限做在瀏覽器端 10/24 03:34
10F:→ Vincent8026: 瀏覽器端跟伺服器端說自己是啥權限,伺服器可能就信 10/24 03:35
11F:→ Vincent8026: 被測試出規則後就拿到最大權限了 10/24 03:35
12F:→ Vincent8026: 6/3駭客通知,當天系統下線, 6/10修復 10/24 03:36
13F:→ Vincent8026: 6/22公開揭露10/24 03:36
14F:→ Vincent8026: *10/22公開揭露10/24 03:36
15F:推 Vincent8026: 跟之前某家台灣客運業者一樣,在瀏覽器端算金額10/24 03:40
16F:→ Vincent8026: 伺服器端又不檢查,真的開出票10/24 03:41
感謝補充,我真的太久沒碰了所有只寫大概
17F:→ ken720331: 直接打臉是最好的10/24 06:33
※ 編輯: milkypine (122.147.151.253 臺灣), 10/24/2025 08:51:45