5个热门网站代管平台皆含有安全漏洞 -湖北中网科技有限公司 体彩220期开奖直播

安全资讯

公司新闻
安全资讯
IT资讯
 
    电话:027-87367829
    邮箱:support@hbzw.net

  地址:

湖北省武汉市中北路1号楚天都市花园B座16楼
   
   
安全资讯

您的当前位置:首页 > 安全资讯

 
5个热门网站代管平台皆含有安全漏洞
 

 专门评测各种网络服务的Website Planet针对了热门的5个网站代管平台展开调查,发现它们或多或少都具备安全漏洞,用户只要点选一个连结或造访恶意网站,帐号就可能被黑客接管。

漏洞

Website Planet所调查的5家网站代管平台涵盖了Bluehost、Dreamhost、HostGator、OVH及iPage,显示这5个平台都至少含有一个安全漏洞。

其中的Bluehost含有4个安全漏洞,其中一个是因跨域资源共享(Cross-Origin Resource Sharing,CORS)的配置错误,将?#24066;?#40657;客窃取个人资讯、部份的支付细节,以及使用者用来存取WordPress、Mojo或SiteLock等基于OAuth的权?#21462;?/p>

另一个漏洞则是源自于Bluehost在处理请求及验证?#31995;?#37197;置错误,?#24066;?#40657;客窜改Bluehost用户的电子邮件位址,在诱导使用者点选恶意连结或造访恶意网站之后,可用新邮件位址?#32479;?#23494;码重设函,进而接管使用者帐号。

还有一个漏洞肇因于Bluehost未能适当验证CORS,而让位于同一网络(如公开Wi-Fi网络或区域网络)中的黑客以明文读取受害者的Bluehost流量。且my.bluehost.com亦含有跨站指令码(XSS)攻击漏洞,?#24066;?#40657;客新增或变更属性,若变更了用户的电子邮件帐号,就能藉由重设密码取得帐号权限。

Dreamhost则同样含有XSS漏洞,?#37096;?#29992;来变更电子邮件帐号并取得Dreamhost平台的帐号权限。不论是Bluehost或Dreamhost的XSS漏洞都因平台在使用者变更电子邮件帐号时未要求输入密码,而简化了攻击流程。

至于HostGator的问题则出在于该平台虽然部署了跨站请求伪造(CSRF)的保护机制,却可透过变更?#38382;?#26469;绕过该机制,因而?#24066;?#40657;客编辑用户个人档案,包括电子邮件及个人资讯,进而取得帐号权限。?#36865;猓?#35813;平台同样存在着配置错误的CORS,可引发中间人攻击及资讯外泄。

OVH平台的CSRF保护机制同样可被绕过而让黑客接管帐号权限,另还存在API配置错误的问题,?#24066;?#20219;何网站读取OVH的API回应。

iPage?#31995;?#24080;号接管漏洞则有些匪夷所思,主要因为该站的密码变更服务并不需要输入现有密码,于是任何网站都能够透过传送跨域请求,?#20801;?#23475;者的使用者名?#35780;?#35774;定新密码。

再者,iPage亦含有属性安全政策绕过漏洞,?#24066;?#40657;客注射恶意属性,进而执行中间人攻击或跨站攻击。

安全研究人员Paulos Yibelo指出,上述漏洞都很容易开采,意味着使用者不管采用了哪个代管服务,都应该采取其它措施来强化网站的安全性。

体彩220期开奖直播 诺基亚手机游戏下载 巴蜀麻将作弊器 今天最新3d开机号查询 奇趣分分彩是什么台子 福彩快三吉林省开奖结果 大乐透19061期开奖结果查询 重庆时时分析计划软件 广东麻将规则 陕西快乐十分前三组开奖 极速11选5软件