首页
社区
课程
招聘
[转帖]万网出信息安全漏洞 所有域名告危
发表于: 2013-2-27 13:45 2469

[转帖]万网出信息安全漏洞 所有域名告危

2013-2-27 13:45
2469
万网出信息安全漏洞 所有域名告危

http://www.enet.com.cn/enews/ 2013年02月27日10:47 来源:比特网
【文章摘要】今年元旦,乌云在万网注册的乌云wooyun和80sec域名被劫持,严重的潜在风险且故障持续时间长达24小时之久。万网在1月份时被证实存在安全漏洞,若该漏洞被恶意用户利用,腾讯、优酷、当当等诸多网站域名DNS记录,将被恶意篡改,后果不堪设想。
今年元旦,乌云在万网注册的乌云wooyun和80sec域名被劫持,严重的潜在风险且故障持续时间长达24小时之久。万网在1月份时被证实存在安全漏洞,若该漏洞被恶意用户利用,腾讯、优酷、当当等诸多网站域名DNS记录,将被恶意篡改,后果不堪设想。

  “手机验证码穷举缺陷”是乌云一直向互联网企业预警的漏洞,也正是这个漏洞,使万网再一次陷入了漏洞门。

  近日,“受害者”乌云将黑客攻击过程进行了重现,还原了整个过程:

  域名注册商中国万网客服,在未确认来电者有效身份的情况下,将网站对应的用户ID提供给恶意用户。恶意用户在不知道域名管理者手机的情况下,利用手机重置密码的功能,强行修改了密码,如此一来,任何账号的登录密码,就可以被重新设置。

  而更大的安全漏洞在于,把别人的账号绑定上自己的手机,恶意用户修改请求中的用户ID,即可随意将万网的任何一个用户账户,绑定到自己的手机上,并直接重置密码。后果将是合法用户无法再找回自己帐号所有权。

  为了避免让恶意用户有机可趁,使网站遭受攻击,选择专业安全的域名注册商是注册域名的重要选择。域名注册服务商要做好信息安全工作,完善系统信息,规范操作行为,才能确保安全。

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//