为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 互联网 查看内容

美属萨摩亚域名注册机构从90年代中期就一直在暴露客户数据

2016-4-28 10:59| 投稿:

摘要: 一位网名叫“InfoSec Guy”的英国安全研究人员,近日披露了美属萨摩亚域名注册机构ASNIC竟然在使用一个过时的域名管理系统的消息。糟糕的是,该管理系统包含了一个bug,允许任何人查看任意.as域名拥有者的详细私人信 ...

一位网名叫“InfoSec Guy”的英国安全研究人员,近日披露了美属萨摩亚域名注册机构ASNIC竟然在使用一个过时的域名管理系统的消息。糟糕的是,该管理系统包含了一个bug,允许任何人查看任意.as域名拥有者的详细私人信息。此外,研究人员还声称,任何知晓该bug的人,都可以编辑和删除任意.as域名——只需篡改下ASNIC域名信息的URL。

研究人员在2天前的博客文章中写到:

通过简单的Base64编码一个.as域名,然后将它附加到nic.as网站的网址中,就可以完整地查看域名记录(包括未加密的域名持有者密码、联系方式、以及付款人等信息)。

一开始,ASNIC否认存在任何问题,但后来还是进行了证实,并披露该系统其实始于1990年代中期。至于明文密码,其表示从未被用于对域名管理操作的用户进行身份验证。

这名安全研究人员最后收到的一封电子邮件写到:“[base]64编码已经被淘汰,我们将已进入通报流程”。

2个月后,似乎没有客户收到数据泄露的通知,于是研究人员尝试再次联系ASNIC,但该机构已不再给出回应。

在发现问题3个月后,研究人员正式公开了这一情况,希望.as的域名拥有人尽快自检自查,其中不乏一些大牌客户,比如Opera、Flickr、Twitter、麦当劳、英国天然气、Bose、阿迪达斯、德州大学、以及许多短网址服务商。

最终,ASNIC于昨日发表了一则声明,声称研究人员的报告“不准确、有误导性、将危害放到了最大”。万幸的是,有缺陷的域名注册系统已经正式退休了。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部