错过的激励措施正在破坏解决“大规模影响”的TLD错误的努力

rwrere

更新安全研究人员透露,攻击者本来可以根据TLD注册商网站的漏洞来修改汤加国家 /地区代码顶级域(CCTLD)下的任何域名服务器。beplay体育能用吗

通过Google搜索“ .to”页面的结果近5.13亿,该缺陷使潜在的无数可能的目标成为各种大规模的目标攻击

幸运的是,恶意剥削被避免了,因为汤加网络信息中心(补品)在网络安全公司帕利萨德(Palisade)披露该问题后24小时内对虫子进行了“非常响应的响应”。beplay体育能用吗博客文章揭示。

重新路由流量

山姆·库里(Sam Curry)和其他帕利萨德(Palisade)研究人员发现了一个SQL注入注册商网站上的漏洞,滥用可能会使攻击者能够为.DOMANES获beplay体育能用吗取针对..域的明文DNS主密码。

登录后,他们可以覆盖这些域名DNS设置并重新布局到他们自己的网站。beplay体育能用吗


阅读更多最新的互联网基础架构新闻


库里说,攻击者可以窃取Cookie和本地浏览器存储,因此访问受害者会议以及其他攻击。

是攻击者对Google的控制的攻击者。Oauth授权流,他们可以发送精心设计的帐户。

短链接安全性

与.io一样,对域进行广泛用于生成部署的短链接以重置用户密码,用于会员营销,并将用户引导到公司资源。

Link shortening services used by the likes of Amazon (amzn.to), Uber (ubr.to), and Verizon (vz.to) could have been abused, suggested Curry, by updating the ‘.to’ pages to which tweets from these mega brands linked to for their millions of Twitter followers.

Curry, Palisade’s founder, suggested that attackers “could likely steal a very large amount of money” from users of tether.to, the official platform for buying Tether stablecoin – even if they “controlled this domain [only] for a short period of time”.

但是,CCTLD的管理员Eric Gullichsen告诉每日swbeplay2018官网ig“如果安全研究人员的IP地址未被列入启用测试,那么我们已经实施的各种安全性,监视和节流系统将击败笔测试期间使用的许多漏洞。”

“非常非常非常糟糕”

库里(Curry)警告说,类似的漏洞可能潜伏在1,500左右的其他TLD中,猜测古代域名注册页面可能使攻击者访问“用于管理TLD下所有域的系统,这将是非常非常非常非常糟糕的”。

他说,然而,未对准的激励措施正在阻碍补救工作。


有关的Security Pro抓住了过期的刚果博士顶级域,占DNS流量的50%以上


他解释说:“大多数计划(我认为)不太愿意为依赖性漏洞支付会导致不同组织的大规模影响的脆弱性。”互联网漏洞赏金程序

此外,域名注册表服务(例如VeriSign)的提供商无法现实地与之匹配谷歌他补充说,在支出方面。

汤加CCTLD Admin Gullichsen说:“我们同意SAM的同意,TLD注册机构的硬化是互联网安全的重要方面的必不可少的,并且可以被忽视。”

检测赔率

咖喱告诉每日swbeplay2018官网ig那个恶意的演员将有一个“好机会”损害脆弱的领域而没有被发现,具体取决于防御性监测。

“如果您要接管像加密货币Exchange或Defi平台,您只能复制网站并自行替换钱包地址。”他说。beplay体育能用吗

诸如Google或Facebook之类的更大客户可能会监视此类攻击,“但是我想,除非客户报告问题,否则将需要一天左右的时间才能在网站所有者意识到他们的DNS已更新之前。”beplay体育能用吗

He adds: “There are also tons of fun attacks where you’d takeover an API for a third-party service like a 2FA provider and use it to bypass authentication, but those are more targeted and I don't think anyone would really try to compromise a TLD to target a specific account on a specific platform, but who knows!”

在相关新闻中覆盖经过每日swbeplay2018官网ig一月份,发现创始人弗雷德里克·阿尔莫斯(Fredrik Almroth)在注册商忽略了续签其所有权之后,为刚果民主共和国(.cd)和TLD DNS交通收购了CCTLD。


本文于12月8日更新,并由.To CCTLD的管理员Eric Gullichsen发表评论


不要忘记阅读“过度验证”身份验证检查使190个澳大利亚组织容易受到业务电子邮件妥协的攻击