今年元旦,烏云在萬網注冊的烏云wooyun和80sec域名被劫持�����,嚴重的潛在風險且故障持續時間長達24小時之久����。萬網在1月份時被證實存在安全漏洞,若該漏洞被惡意用戶利用���,騰訊、優酷��、當當等諸多網站域名DNS記錄�����,將被惡意篡改����,后果不堪設想��。 “手機驗證碼窮舉缺陷”是烏云一直向互聯網企業預警的漏洞���,也正是這個漏洞�����,使萬網再一次陷入了漏洞門���。 近日���,“受害者”烏云將黑客攻擊過程進行了重現�����,還原了整個過程: 域名注冊商中國萬網客服��,在未確認來電者有效身份的情況下,將網站對應的用戶ID提供給惡意用戶。惡意用戶在不知道域名管理者手機的情況下���,利用手機重置密碼的功能,強行修改了密碼,如此一來,任何賬號的登錄密碼���,就可以被重新設置。 而更大的安全漏洞在于,把別人的賬號綁定上自己的手機�����,惡意用戶修改請求中的用戶ID��,即可隨意將萬網的任何一個用戶賬戶�,綁定到自己的手機上,并直接重置密碼����。后果將是合法用戶無法再找回自己帳號所有權��。 為了避免讓惡意用戶有機可趁,使網站遭受攻擊����,選擇專業安全的域名注冊商是注冊域名的重要選擇。域名注冊服務商要做好信息安全工作,完善系統信息��,規范操作行為���,才能確保安全�。 重慶網站制作公司 | 
當前位置:
