可以黑掉半个中国互联网的安全漏洞

  • A+
所属分类:安全新闻

1,目标确定

万网帐号为不可预测的存数字ID,攻击者通过电话对客服进行了欺骗,谎称自己是乌云站点管理人员,登陆ID忘记,希望提供。客服人员在没有确认来电者有效身份情况下,就将乌云的万网数字登陆ID提供给攻击者

可以黑掉半个中国互联网的安全漏洞


2,攻击尝试

攻击者利用了一个乌云上警告了很久的案例---手机验证码爆破漏洞。对万网仅仅4位的纯数字手机验证码成功突破,在不知道域名管理者手机的情况下,利用手机重置密码功能强行修改了密码。

可以黑掉半个中国互联网的安全漏洞


3,大功告成

之后攻击者又找到另一个更严重的漏洞,通过修改请求中的用户ID,即可修改任意用户的绑定为自己的手机,然后直接重置密码。此后,合法用户将无法在找回自己帐号所有权。

可以黑掉半个中国互联网的安全漏洞


4,巨大影响

国内很多互联网巨头都在使用万网的DNS服务,如腾讯等。因漏洞通知及时,所以并未造成大面积的影响,但也对国内互联网企业与服务商安全状况敲响了警钟。

本文始发于微信公众号(乌云漏洞报告平台):可以黑掉半个中国互联网的安全漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: