万网出信息安全漏洞 所有域名告危

http://www.enet.com.cn/enews/ 2013年02月27日10：47 来源：比特网
【文章摘要】今年元旦，乌云在万网注册的乌云wooyun和80sec域名被劫持，严重的潜在风险且故障持续时间长达24小时之久。万网在1月份时被证实存在安全漏洞，若该漏洞被恶意用户利用，腾讯、优酷、当当等诸多网站域名DNS记录，将被恶意篡改，后果不堪设想。
今年元旦，乌云在万网注册的乌云wooyun和80sec域名被劫持，严重的潜在风险且故障持续时间长达24小时之久。万网在1月份时被证实存在安全漏洞，若该漏洞被恶意用户利用，腾讯、优酷、当当等诸多网站域名DNS记录，将被恶意篡改，后果不堪设想。

　　“手机验证码穷举缺陷”是乌云一直向互联网企业预警的漏洞，也正是这个漏洞，使万网再一次陷入了漏洞门。

　　近日，“受害者”乌云将黑客攻击过程进行了重现，还原了整个过程：

　　域名注册商中国万网客服，在未确认来电者有效身份的情况下，将网站对应的用户ID提供给恶意用户。恶意用户在不知道域名管理者手机的情况下，利用手机重置密码的功能，强行修改了密码，如此一来，任何账号的登录密码，就可以被重新设置。

　　而更大的安全漏洞在于，把别人的账号绑定上自己的手机，恶意用户修改请求中的用户ID，即可随意将万网的任何一个用户账户，绑定到自己的手机上，并直接重置密码。后果将是合法用户无法再找回自己帐号所有权。

　　为了避免让恶意用户有机可趁，使网站遭受攻击，选择专业安全的域名注册商是注册域名的重要选择。域名注册服务商要做好信息安全工作，完善系统信息，规范操作行为，才能确保安全。

[课程]Linux pwn 探索篇！