首页 > 资讯 > 乌云还原其受害过程 万网信息安全漏洞隐患多

乌云还原其受害过程 万网信息安全漏洞隐患多

来源:比特网标签:万网 乌云 安全漏洞时间:2013-02-28

万网在1月份时被证实存在安全漏洞,若该漏洞被恶意用户利用,腾讯、优酷、当当等诸多网站域名DNS记录,将被恶意篡改,后果不堪设想。

“手机验证码穷举缺陷”是乌云一直向互联网企业预警的漏洞,也正是这个漏洞,使万网再一次陷入了漏洞门。

今年元旦,乌云在万网注册的乌云wooyun和80sec域名被劫持,严重的潜在风险且故障持续时间长达24小时之久。近日,受害者”乌云将其遭受黑客攻击的过程进行了重现,以下为比特网对整个过程的报道:

域名注册商中国万网客服,在未确认来电者有效身份的情况下,将网站对应的用户ID提供给恶意用户。恶意用户在不知道域名管理者手机的情况下,利用手机重置密码的功能,强行修改了密码,如此一来,任何账号的登录密码,就可以被重新设置。

而更大的安全漏洞在于,把别人的账号绑定上自己的手机,恶意用户修改请求中的用户ID,即可随意将万网的任何一个用户账户,绑定到自己的手机上,并直接重置密码。后果将是合法用户无法再找回自己帐号所有权。

为了避免让恶意用户有机可趁,使网站遭受攻击,选择专业安全的域名注册商是注册域名的重要选择。域名注册服务商要做好信息安全工作,完善系统信息,规范操作行为,才能确保安全。