国外车企安全渗透案例【2】– 发现法拉利、宝马、劳斯莱斯、保时捷等车企关键漏洞

文章预览

声明： 文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。 博客新域名： https://gugesay.com 不想错过任何消息？设置星标 ↓ ↓ ↓ 书接上回： 国外车企安全渗透案例【1】-- 发现法拉利、宝马、劳斯莱斯、保时捷等车企关键漏洞 法拉利完全帐户接管和任意帐户创建 当白帽团队开始瞄准法拉利时，在“ferrari.com”等公开域名下绘制了所有子域，并浏览了可以访问的内容。 其中发现的一个目标是“api.ferrari.com”，该域为法拉利系统提供面向客户的 API 和内部 API，他们目标是获得此 API 的最高级别的访问权限。 首先白帽团队分析了几个法拉利子域上存在的 JavaScript，这些子域看起来像是供法拉利经销商使用的。 这些子域包括“cms-dealer.fer ………………………………