Website Planet实测：5个热门网站代管平台皆含有安全漏洞

专门评测各类收集处事的Website Planet针对了热点的5个网站代管平台睁开观测，发明它们或多或少都具备安详裂痕，用户只要点选一个连结或拜访恶意网站，帐号就也许被黑客经受。

Website Planet所观测的5家网站代管平台涵盖了Bluehost、Dreamhost、HostGator、OVH及iPage，表现这5个平台都至少含有一个安详裂痕。

个中的Bluehost含有4个安详裂痕，个中一个是因跨域资源共享(Cross-Origin Resource Sharing，CORS)的设置错误，将应承黑客窃取小我私人资讯、部份的付出细节，以及行使者用来存取WordPress、Mojo或SiteLock等基于OAuth的权杖。

另一个裂痕则是源自于Bluehost在处理赏罚哀求及验证上的设置错误，应承黑客篡改Bluehost用户的电子邮件位址，在诱导行使者点选恶意连结或拜访恶意网站之后，可用新邮件位址送出暗码重设函，进而经受行使者帐号。

尚有一个裂痕肇因于Bluehost未能恰当验证CORS，而让位于统一收集(假如真Wi-Fi收集或地区收集)中的黑客以明文读取受害者的Bluehost流量。且my.bluehost.com亦含有跨站指令码(XSS)进攻裂痕，应承黑客新增或改观属性，若改观了用户的电子邮件帐号，就能藉由重设暗码取得帐号权限。

Dreamhost则同样含有XSS裂痕，也可用来改观电子邮件帐号并取得Dreamhost平台的帐号权限。岂论是Bluehost或Dreamhost的XSS裂痕都因平台在行使者改观电子邮件帐号时未要求输入暗码，而简化了进攻流程。

至于HostGator的题目则出在于该平台固然陈设了跨站哀求伪造(CSRF)的掩护机制，却可透过改观参数来绕过该机制，因而应承黑客编辑用户小我私人档案，包罗电子邮件及小我私人资讯，进而取得帐号权限。另外，该平台同样存在着设置错误的CORS，可激发中间人进攻及资讯外泄。

OVH平台的CSRF掩护机制同样可被绕过而让黑客接会计号权限，另还存在API设置错误的题目，应承任何网站读取OVH的API回应。

iPage上的帐号经受裂痕则有些匪夷所思，首要由于该站的暗码改观处事并不必要输入现有暗码，于是任何网站都可以或许透过传送跨域哀求，以受害者的行使者名称来设定新暗码。

再者，iPage亦含有属性安详政策绕过裂痕，应承黑客打针恶意属性，进而执行中间人进攻或跨站进攻。

安详研究职员Paulos Yibelo指出，上述裂痕都很轻易开采，意味着行使者不管回收了哪个代管处事，都应该采纳其余法子来强化网站的安详性。

【编辑保举】

1. 揭秘：人工智能带来的收集安详威胁
2. 零信赖的呈现成为收集安详存眷点
3. 2019年能改进组织收集安详的六项决策
4. 3大Web安详裂痕防止详解：XSS、CSRF、以及SQL注入办理方案
5. 赛门铁克宣布2019年及将来收集安详趋势猜测

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!