2013年初,乌云在万网注册的乌云wooyun和80sec域名被劫持,严重的潜在风险且故障持续时间长达24小时之久。万网在1月份时被证实存在安全漏洞,若该漏洞被恶意用户利用,腾讯、优酷、当当等诸多网站域名DNS记录,将被恶意篡改,后果不堪设想。
“手机验证码穷举缺陷”是乌云一直向互联网企业预警的漏洞,也正是这个漏洞,使万网再一次陷入了漏洞门。近日,“受害者”乌云将黑客攻击过程进行了重现,还原了整个过程:
域名注册商中国万网客服,在未确认来电者有效身份的情况下,将网站对应的用户ID提供给恶意用户。恶意用户在不知道域名管理者手机的情况下,利用手机重置密码的功能,强行修改了密码,如此一来,任何账号的登录密码,就可以被重新设置。
而更大的安全漏洞在于,把别人的账号绑定上自己的手机,恶意用户修改请求中的用户ID,即可随意将万网的任何一个用户账户,绑定到自己的手机上,并直接重置密码。后果将是合法用户无法再找回自己帐号所有权。
为了避免让恶意用户有机可趁,使网站遭受攻击,选择专业安全的域名注册商是注册域名的重要选择。域名注册服务商要做好信息安全工作,完善系统信息,规范操作行为,才能确保安全。
相关资讯 [ 关键词: 万网 ]
