1,目标确定
万网帐号为不可预测的存数字ID,攻击者通过电话对客服进行了欺骗,谎称自己是乌云站点管理人员,登陆ID忘记,希望提供。客服人员在没有确认来电者有效身份情况下,就将乌云的万网数字登陆ID提供给攻击者。
2,攻击尝试
攻击者利用了一个乌云上警告了很久的案例---手机验证码爆破漏洞。对万网仅仅4位的纯数字手机验证码成功突破,在不知道域名管理者手机的情况下,利用手机重置密码功能强行修改了密码。
3,大功告成
之后攻击者又找到另一个更严重的漏洞,通过修改请求中的用户ID,即可修改任意用户的绑定为自己的手机,然后直接重置密码。此后,合法用户将无法在找回自己帐号所有权。
4,巨大影响
国内很多互联网巨头都在使用万网的DNS服务,如腾讯等。因漏洞通知及时,所以并未造成大面积的影响,但也对国内互联网企业与服务商安全状况敲响了警钟。
本文始发于微信公众号(乌云漏洞报告平台):可以黑掉半个中国互联网的安全漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论