时间:2014-07-03 13:23:24 来源: 复制分享
2013年年初,中国万网被发现存在严重安全漏洞,导致包括腾讯、优酷、当当等国内大型网站在内的域名DNS记录均可被恶意篡改,由于中国万网管理着国内互联网几乎半数的域名指向,因此,如果这样厂商的安全漏洞一旦被利用,DNS指向被恶意篡改,损失不可计数!
2013年的元旦,对于中国互联网与乌云漏洞报告平台来说,都是难忘的一夜。这天凌晨,乌云漏洞报告平台因域名所属服务商“中国万网”的未知安全漏洞导致DNS记录被恶意篡改,网站被黑。乌云团队在协助调查漏洞细节后发现,漏洞原因非常戏剧化,竟为乌云一直向互联网企业预警的“手机验证码穷举缺陷”。
黑客攻击过程重现
1,目标确定
万网帐号为不可预测的纯数字ID,攻击者通过电话对客服进行了欺骗,谎称自己是站点管理人员,登陆ID忘记,希望提供。客服人员在没有确认来电者有效身份情况下,就将网站的万网数字登陆ID提供给攻击者。
2,攻击尝试
攻击者利用了一个乌云上警告了很久的案例---手机验证码爆破漏洞。对万网仅仅4位的纯数字手机验证码成功突破,在不知道域名管理者手机的情况下,利用手机重置密码功能强行修改了密码。
截住,然后爆破这个验证码
这样一来就可以重置任何万网账号的登录密码了。
3,大功告成
之后攻击者又找到另一个更严重的漏洞,通过修改请求中的用户ID,即可修改任意用户的绑定为自己的手机,然后直接重置密码。此后,合法用户将无法再找回自己帐号所有权。
userID写成你要劫持的账号的ID,手机号当然写成你自己的了。至于如何知道ID,前面已经有提(你也可以去社工,打电话给万网客服就可以获取他人的用户UID)。
此次漏洞因通知及时,所以并未造成大面积的影响,但也对国内互联网企业与服务商安全状况敲响了警钟。
因如今网络带宽与计算机性能的大幅提高,之前一直采用的手机短信验证码进行身份认证功能没有根据时代交替而更新换代,依然使用4~6位纯数字的验证码,而且没有对错误次数进行检查,黑客可以短时间内预测正确的验证码。另外由于黑客没有目标的帐号,竟然拨通了客服电话直接进行索取,客服流程安全防护流程不足,将受害者帐号直接提供给了黑客,最终导致用户密码被黑客修改。
如今国内互联网企业安全状况一直处于很被动的状态,都是本着“亡羊补牢,为时不晚”的心态,自家出现问题后才想到安全问题的重要性,其他家出现问题就瞧个热闹甚至冷嘲热讽一番,而都不主动去关注与寻找自身问题(有些问题甚至已经存在许久)。对于用户来说越来越处于劣势,利益保障无力、服务支持无力、维权无力等...
在此向各大互联网服务商呼吁,用户将数据、金钱交给你们是一份信任与期待,请不要让用户轻易受到损失,保护好这些衣食父母,请对他们用心、负责一些。