5个流行的虚拟主机服务容易受到多个缺陷的影响

  • 时间:
  • 浏览:35
  • 来源:六合资讯网
5个流行的虚拟主机服务容易受到多个缺陷的影响
一位安全研究人员在世界上一些最受欢迎和广泛使用的网络托管公司中发现了多个一键式客户端漏洞,这些漏洞可能使数百万客户以及数十亿网站的访问者面临风险
独立研究人员和追踪错误的人Paulos Yibelo与The Hacker News分享了他的新研究,他在Bluehost,Dreamhost,HostGator,OVH和iPage中发现了大约十二个严重的安全漏洞,大约七百万域名。
有些漏洞执行起来非常简单,因为它们要求攻击者欺骗受害者点击简单的链接或访问恶意网站,以便轻松接管使用受影响的网络托管服务提供商的任何人的帐户。
铬热门虚拟主机服务中报告的itical漏洞Yibelo在所有五个虚拟主机平台上测试了下面列出的所有漏洞,发现了几个帐户接管,跨脚本和信息泄露漏洞,他在网站星球博客上记录了这些漏洞。
1。 Bluehost是Endurance拥有的公司,该公司还拥有Hostgator和iPage,总共有三家托管服务提供商为全球200多万家网站提供服务。 Bluehost被发现易受攻击:通过跨源资源共享(CORS)错误配置导致信息泄露由于JSON请求验证不当而导致账户接管CSRFA中间人攻击可能由于CORS方案验证不当而导致跨站点脚本漏洞在my.bluehost.com上允许帐户接管(示范在下面的概念验证中)2。发现为一百万个域提供动力的托管服务提供商Dreamhost容易受到:
使用跨站点脚本(XSS)漏洞进行帐户接管3。 HostGator
站点范围的CSRF保护旁路允许完全控制导致信息泄漏和CRLF4的多个CORS错误配置。 OVH托管这家全球四百万个域名的公司被发现容易受到:
CSRF保护绕过API错误配置5。 iPage Hosting
帐户接管漏洞多内容安全策略(CSP)绕过
与黑客新闻交谈,Yibelo表示他平均花了大约一个小时在五个网络托管平台的每一个上找到至少一个帐户接管 - 相关的客户端漏洞,主要使用Burp Suite,一个web ap折叠安全测试工具和Firefox浏览器插件。
“他们主要关注保护错误的资产,但他们中的大多数都有针对其用户配置文件门户和数据泄漏漏洞类别的中等安全标准。他们的大多数保护措施很容易被绕过鲜为人知的伎俩,“Yibelo告诉The Hacker News。
在受影响的托管公司中,Yibelo发现Bluehost,HostGator和iPage是最容易入侵的公司,尽管他告诉The Hacker News HostGator包括”多层安全检查(可以被绕过,但它们在那里,与其他网站不同)。“
Yibelo向受影响的网络托管服务提供商报告了他的调查结果,除了OVH在昨天公开信息之前修补了他们的服务。 OVH还没有对研究人员的调查结果进行了确认和回应。对这篇文章有什么看法?在下面评论或在Facebook,Twitter或我们的LinkedIn Group上与我们分享。
monday.com:管理团队计划的新方法。组织。跟踪。免费试用这个通用的团队管理工具,提高团队的工作效率.10热门书籍学习黑客获取开始或进一步开展网络安全职业所需的技能。转向HelloSign获取电子签名通过此数字化转型计划增加收入并减少人为错误。如何破解WiFi密码查看如何破解WiFi密码或WiFi黑客软件?
通过电子邮件获取每日新闻更新

加入超过500,000名信息安全专业人员为我们提供最好的网络安全保障收件箱每天早上。

猜你喜欢

BRI研究中心在开罗落成

BRI研究中心在开罗落成这张照片拍摄于2019年1月13日,展示了埃及开罗的一带一路合作研究中心的外观。[图片/新华社]中国人民大学和埃及的艾恩沙姆斯大学于周日在埃及首都开罗开

2019-01-21

7人死亡,数十人在俄罗斯瓦斯爆炸中失踪

7人死亡,数十人在俄罗斯瓦斯爆炸中失踪紧急情况部在周二的一份声明中表示,俄罗斯家庭瓦斯爆炸事件造成的死亡人数增加到7人,还有数十人失踪。共有12人被撤离声明说,其中七人被证实死

2019-01-21

Joseph Nye:中国,美国不是“冷战”,而是合作竞争

JosephNye:中国,美国不是“冷战”,而是合作竞争尽管现在中美出现了反对意见。关系,合作更为重要,强调美国着名政治学家JosephS.Nye博士于1月10日接受China

2019-01-21

FM表示,对非洲援助的攻击是错误的

FM表示,对非洲援助的攻击是错误的埃塞俄比亚总统Sahle-WorkZewde(R)于2019年1月3日在埃塞俄比亚首都亚的斯亚贝巴会见了中国国务委员兼外交部长王毅。[图片/新

2019-01-21

Facebook承诺投入3亿美元来支持当地新闻媒体

Facebook承诺投入3亿美元来支持当地新闻媒体U.S。社交媒体网络Facebook周二宣布,它将在三年内投入3亿美元用于支持本地新闻,该新闻在数字时代受到重创,据当地媒体报

2019-01-21