Website Planet实测:5个热门网站代管平台皆含有安全漏洞
专门评测各类收集处事的Website Planet针对了热点的5个网站代管平台睁开观测,发明它们或多或少都具备安详裂痕,用户只要点选一个连结或拜访恶意网站,帐号就也许被黑客经受。 Website Planet所观测的5家网站代管平台涵盖了Bluehost、Dreamhost、HostGator、OVH及iPage,表现这5个平台都至少含有一个安详裂痕。 个中的Bluehost含有4个安详裂痕,个中一个是因跨域资源共享(Cross-Origin Resource Sharing,CORS)的设置错误,将应承黑客窃取小我私人资讯、部份的付出细节,以及行使者用来存取WordPress、Mojo或SiteLock等基于OAuth的权杖。 另一个裂痕则是源自于Bluehost在处理赏罚哀求及验证上的设置错误,应承黑客篡改Bluehost用户的电子邮件位址,在诱导行使者点选恶意连结或拜访恶意网站之后,可用新邮件位址送出暗码重设函,进而经受行使者帐号。 尚有一个裂痕肇因于Bluehost未能恰当验证CORS,而让位于统一收集(假如真Wi-Fi收集或地区收集)中的黑客以明文读取受害者的Bluehost流量。且my.bluehost.com亦含有跨站指令码(XSS)进攻裂痕,应承黑客新增或改观属性,若改观了用户的电子邮件帐号,就能藉由重设暗码取得帐号权限。 Dreamhost则同样含有XSS裂痕,也可用来改观电子邮件帐号并取得Dreamhost平台的帐号权限。岂论是Bluehost或Dreamhost的XSS裂痕都因平台在行使者改观电子邮件帐号时未要求输入暗码,而简化了进攻流程。 至于HostGator的题目则出在于该平台固然陈设了跨站哀求伪造(CSRF)的掩护机制,却可透过改观参数来绕过该机制,因而应承黑客编辑用户小我私人档案,包罗电子邮件及小我私人资讯,进而取得帐号权限。另外,该平台同样存在着设置错误的CORS,可激发中间人进攻及资讯外泄。 OVH平台的CSRF掩护机制同样可被绕过而让黑客接会计号权限,另还存在API设置错误的题目,应承任何网站读取OVH的API回应。 iPage上的帐号经受裂痕则有些匪夷所思,首要由于该站的暗码改观处事并不必要输入现有暗码,于是任何网站都可以或许透过传送跨域哀求,以受害者的行使者名称来设定新暗码。 再者,iPage亦含有属性安详政策绕过裂痕,应承黑客打针恶意属性,进而执行中间人进攻或跨站进攻。 安详研究职员Paulos Yibelo指出,上述裂痕都很轻易开采,意味着行使者不管回收了哪个代管处事,都应该采纳其余法子来强化网站的安详性。 【编辑保举】
点赞 0 (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |