专门评测各种网络服务的Website Planet针对了热门的5个网站代管平台展开调查,发现它们或多或少都具备安全漏洞,用户只要点选一个连结或造访恶意网站,帐号就可能被黑客接管。
Website Planet所调查的5家网站代管平台涵盖了Bluehost、Dreamhost、HostGator、OVH及iPage,显示这5个平台都至少含有一个安全漏洞。
其中的Bluehost含有4个安全漏洞,其中一个是因跨域资源共享(Cross-Origin Resource Sharing,CORS)的配置错误,将允许黑客窃取个人资讯、部份的支付细节,以及使用者用来存取WordPress、Mojo或SiteLock等基于OAuth的权杖。
另一个漏洞则是源自于Bluehost在处理请求及验证上的配置错误,允许黑客窜改Bluehost用户的电子邮件位址,在诱导使用者点选恶意连结或造访恶意网站之后,可用新邮件位址送出密码重设函,进而接管使用者帐号。
还有一个漏洞肇因于Bluehost未能适当验证CORS,而让位于同一网络(如公开Wi-Fi网络或区域网络)中的黑客以明文读取受害者的Bluehost流量。且my.bluehost.com亦含有跨站指令码(XSS)攻击漏洞,允许黑客新增或变更属性,若变更了用户的电子邮件帐号,就能藉由重设密码取得帐号权限。
Dreamhost则同样含有XSS漏洞,也可用来变更电子邮件帐号并取得Dreamhost平台的帐号权限。不论是Bluehost或Dreamhost的XSS漏洞都因平台在使用者变更电子邮件帐号时未要求输入密码,而简化了攻击流程。
至于HostGator的问题则出在于该平台虽然部署了跨站请求伪造(CSRF)的保护机制,却可透过变更参数来绕过该机制,因而允许黑客编辑用户个人档案,包括电子邮件及个人资讯,进而取得帐号权限。此外,该平台同样存在着配置错误的CORS,可引发中间人攻击及资讯外泄。
OVH平台的CSRF保护机制同样可被绕过而让黑客接管帐号权限,另还存在API配置错误的问题,允许任何网站读取OVH的API回应。
iPage上的帐号接管漏洞则有些匪夷所思,主要因为该站的密码变更服务并不需要输入现有密码,于是任何网站都能够透过传送跨域请求,以受害者的使用者名称来设定新密码。
再者,iPage亦含有属性安全政策绕过漏洞,允许黑客注射恶意属性,进而执行中间人攻击或跨站攻击。
安全研究人员Paulos Yibelo指出,上述漏洞都很容易开采,意味着使用者不管采用了哪个代管服务,都应该采取其它措施来强化网站的安全性。
以上所述就是小编给大家介绍的《Website Planet实测:5个热门网站代管平台皆含有安全漏洞》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 实测:Kubernetes 1.6 中的混合 DNS
- 《统计学习方法》的Python 3.6复现,实测可用
- 实测 Maven 上传 jar 包到私服的方法归纳
- Android Studio 版本离线更新的正确方法(实测)
- 裂墙推荐!国产Java代码补全神器,aiXcoder 2.0实测
- CentOS 7.5数据库架构之NFS+Heartbeat+DRBD实测
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
深入浅出HTML与CSS、XHTML
[美] 弗里曼 Freeman.E. / 东南大学出版社 / 2006-5 / 98.00元
《深入浅出HTML与CSS XHTML》(影印版)能让你避免认为Web-safe颜色还是紧要问题的尴尬,以及不明智地把标记放入你的页面。最大的好处是,你将毫无睡意地学习HTML、XHTML 和CSS。如果你曾经读过深入浅出(Head First)系列图书中的任一本,就会知道书中展现的是什么:一个按人脑思维方式设计的丰富的可视化学习模式。《深入浅出HTML与CSS XHTML》(影印版)的编写采用了......一起来看看 《深入浅出HTML与CSS、XHTML》 这本书的介绍吧!