Website Planet实测：5个热门网站代管平台皆含有安全漏洞

专门评测各种网络服务的Website Planet针对了热门的5个网站代管平台展开调查，发现它们或多或少都具备安全漏洞，用户只要点选一个连结或造访恶意网站，帐号就可能被黑客接管。

在彝良等地区，都构建了全面的区域性战略布局，加强发展的系统性、市场前瞻性、产品创新能力，以专注、极致的服务理念，为客户提供网站建设、网站制作 网站设计制作按需定制网站,公司网站建设,企业网站建设,高端网站设计,网络营销推广,成都外贸网站建设,彝良网站建设费用合理。

Website Planet所调查的5家网站代管平台涵盖了Bluehost、Dreamhost、HostGator、OVH及iPage，显示这5个平台都至少含有一个安全漏洞。

其中的Bluehost含有4个安全漏洞，其中一个是因跨域资源共享(Cross-Origin Resource Sharing，CORS)的配置错误，将允许黑客窃取个人资讯、部份的支付细节，以及使用者用来存取WordPress、Mojo或SiteLock等基于OAuth的权杖。

另一个漏洞则是源自于Bluehost在处理请求及验证上的配置错误，允许黑客窜改Bluehost用户的电子邮件位址，在诱导使用者点选恶意连结或造访恶意网站之后，可用新邮件位址送出密码重设函，进而接管使用者帐号。

还有一个漏洞肇因于Bluehost未能适当验证CORS，而让位于同一网络(如公开Wi-Fi网络或区域网络)中的黑客以明文读取受害者的Bluehost流量。且my.bluehost.com亦含有跨站指令码(XSS)攻击漏洞，允许黑客新增或变更属性，若变更了用户的电子邮件帐号，就能藉由重设密码取得帐号权限。

Dreamhost则同样含有XSS漏洞，也可用来变更电子邮件帐号并取得Dreamhost平台的帐号权限。不论是Bluehost或Dreamhost的XSS漏洞都因平台在使用者变更电子邮件帐号时未要求输入密码，而简化了攻击流程。

至于HostGator的问题则出在于该平台虽然部署了跨站请求伪造(CSRF)的保护机制，却可透过变更参数来绕过该机制，因而允许黑客编辑用户个人档案，包括电子邮件及个人资讯，进而取得帐号权限。此外，该平台同样存在着配置错误的CORS，可引发中间人攻击及资讯外泄。

OVH平台的CSRF保护机制同样可被绕过而让黑客接管帐号权限，另还存在API配置错误的问题，允许任何网站读取OVH的API回应。

iPage上的帐号接管漏洞则有些匪夷所思，主要因为该站的密码变更服务并不需要输入现有密码，于是任何网站都能够透过传送跨域请求，以受害者的使用者名称来设定新密码。

再者，iPage亦含有属性安全政策绕过漏洞，允许黑客注射恶意属性，进而执行中间人攻击或跨站攻击。

安全研究人员Paulos Yibelo指出，上述漏洞都很容易开采，意味着使用者不管采用了哪个代管服务，都应该采取其它措施来强化网站的安全性。

网站名称：Website Planet实测：5个热门网站代管平台皆含有安全漏洞
本文路径：http://www.shufengxianlan.com/qtweb/news34/23184.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联