注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

龙少'Blog

 

 
 
 

日志

 
 

万网域名系统曝惊天大漏洞,可黑掉一半中国互联网域名  

2013-02-21 19:32:58|  分类: 默认分类 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

2013年年初,中国万网被发现存在严重安全漏洞,导致包括腾讯、优酷、当当等国内大型网站在内的域名DNS记录均可被恶意篡改,由于中国万网管理着国内互联网几乎半数的域名指向,因此,如果这样厂商的安全漏洞一旦被利用,DNS指向被恶意篡改,损失不可计数!
  2013年的元旦,对于中国互联网与乌云漏洞报告平台来说,都是难忘的一夜。这天凌晨,乌云漏洞报告平台因域名所属服务商“中国万网”的未知安全漏洞导致DNS记录被恶意篡改,网站被黑。乌云团队在协助调查漏洞细节后发现,漏洞原因非常戏剧化,竟为乌云一直向互联网企业预警的“手机验证码穷举缺陷”。

 

                                                               1 黑客攻击过程重现


1,目标确定
万网帐号为不可预测的纯数字ID,攻击者通过电话对客服进行了欺骗,谎称自己是站点管理人员,登陆ID忘记,希望提供。客服人员在没有确认来电者有效身份情况下,就将网站的万网数字登陆ID提供给攻击者。

万网域名系统曝惊天大漏洞,可黑掉一半中国互联网域名 - 维护网络界的和平 - 龙少Blog
 

 2,攻击尝试
攻击者利用了一个乌云上警告了很久的案例---手机验证码爆破漏洞。对万网仅仅4位的纯数字手机验证码成功突破,在不知道域名管理者手机的情况下,利用手机重置密码功能强行修改了密码。

万网域名系统曝惊天大漏洞,可黑掉一半中国互联网域名 - 维护网络界的和平 - 龙少Blog
截住,然后爆破这个验证码
万网域名系统曝惊天大漏洞,可黑掉一半中国互联网域名 - 维护网络界的和平 - 龙少Blog
万网域名系统曝惊天大漏洞,可黑掉一半中国互联网域名 - 维护网络界的和平 - 龙少Blog
这样一来就可以重置任何万网账号的登录密码了。
3,大功告成
之后攻击者又找到另一个更严重的漏洞,通过修改请求中的用户ID,即可修改任意用户的绑定为自己的手机,然后直接重置密码。此后,合法用户将无法再找回自己帐号所有权。
万网域名系统曝惊天大漏洞,可黑掉一半中国互联网域名 - 维护网络界的和平 - 龙少Blog
userID写成你要劫持的账号的ID,手机号当然写成你自己的了。至于如何知道ID,前面已经有提(你也可以去社工,打电话给万网客服就可以获取他人的用户UID)。
此次漏洞因通知及时,所以并未造成大面积的影响,但也对国内互联网企业与服务商安全状况敲响了警钟。
因如今网络带宽与计算机性能的大幅提高,之前一直采用的手机短信验证码进行身份认证功能没有根据时代交替而更新换代,依然使用4~6位纯数字的验证码,而且没有对错误次数进行检查,黑客可以短时间内预测正确的验证码。另外由于黑客没有目标的帐号,竟然拨通了客服电话直接进行索取,客服流程安全防护流程不足,将受害者帐号直接提供给了黑客,最终导致用户密码被黑客修改。
  如今国内互联网企业安全状况一直处于很被动的状态,都是本着“亡羊补牢,为时不晚”的心态,自家出现问题后才想到安全问题的重要性,其他家出现问题就瞧个热闹甚至冷嘲热讽一番,而都不主动去关注与寻找自身问题(有些问题甚至已经存在许久)。对于用户来说越来越处于劣势,利益保障无力、服务支持无力、维权无力等...
 
  评论这张
 
阅读(198)| 评论(1)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017