Microsoft 存在子域劫持问题
NIC.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出,Microsoft 在其数千个子域的管理方面存在问题,存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。
据 ZDNet 报道称,Gaschet 在接受其采访时说,在过去三年中,他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域,但该公司要么忽略报告,要么就是默默地保护某些子域。
Gaschet 表示,他已经在 2017 年向微软报告了 21 个容易受到劫持的 msn.com 子域 [1, 2],并在 2019 年报告了 142 个错误配置的 microsoft.com 子域 [1, 2]。此外,他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。
图片: ZDNet
Gaschet 透露,在其报告的所有错误配置的子域中,微软仅解决了其中的几个,被修复的数量占比只有他所报告数量的 5%-10% 左右。并称,该操作系统制造商通常会修复较大的子域,例如 cloud.microsoft.com 和 account.dpedge.microsoft.com,却使其他子域暴露在劫持之下。
他还表示,大多数 Microsoft 子域在其各自的 DNS 条目中容易受到基本错误配置的攻击。Gaschet 称,“根本原因/错误是忘记了 DNS 条目,指向不再存在或根本不存在的内容,例如 DNS 条目内容中的错字。”
Gaschet 在 Twitter 上指出,至少有一个垃圾邮件小组已经发现了他们可以劫持 Microsoft 的子域,并通过将其托管在信誉良好的域中来增加其垃圾内容。并表明,他已在至少四个合法的 Microsoft 子域中发现了印度尼西亚扑克赌场的广告,分别为 portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com 和 blog-ambassadors.microsoft.com。
目前,ZDNet 已向微软征求意见,并要求该公司在当日的 Twitter 话题中对 Gaschet 提出的一系列问题发表评论。
Gaschet 在 Twitter 上猜测,微软不优先解决这些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分,这意味着即使所报告的问题很严重,这些报告也不会得到优先处理。
同时,Gaschet 敦促微软改变其管理 DNS 记录的方式。并称,这是造成这些错误配置的主要原因。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
无聊家里蹲,还是趁机自我提升?分享你正在修炼的技术吧
今年的春节假期可谓史上最长长长长的假期了… 为了不在家宅到发霉,身边小伙伴各有妙招,有的小伙伴修炼生活技能化身为厨房好手,有的小伙伴开发运动细胞练出了八块腹肌,还有的小伙伴坚持7*24小时远程工作,2020社畜身份始终不丢(T-T) OSC的小伙伴们~ 你们在家有没有学习什么新技术呢?来投票分享一下吧!
- 下一篇
谷歌发布首个 Android 11 开发者预览版本
谷歌今天发布了首个 Android 11 的开发者预览版本。预览版包括面向开发人员的预览 SDK,以及官方的 Android 模拟器,目前只能与多款 Pixel 设备配合使用。 通常开发者预览版会在每年 3 月推出,这是迄今为止最早发布的一次。去年谷歌启动了 Android Beta 计划,但今年并没有将第一个预览版本作为 Beta 发布,而是只能手动下载和刷新。也就是说 Android 11 尚未为其他采用者做准备,仅针对开发人员。 Android 11 将带来更好的 5G 体验,以及一系列关于对话功能的改进;对针孔和瀑布屏的支持也是一大亮点。神经网络 API(NNAPI)专为在 Android 设备上运行用于计算机学习的计算密集型操作而设计,在新版本中也得到了优化。 此外,谷歌提供了不少关于隐私和安全的新举措。包括授予一次性临时权限、围绕特定路径范围进行存储、扩展对生物识别的支持等。 在系统方面,Android 11 添加了 12 个新的可更新模块,其中重点包括一个权限模块、一个媒体提供者模块,和一个神经网络 API 模块。新版本还尝试通过提高应用程序的兼容性来使更新速度更快、更流...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- MySQL8.0.19开启GTID主从同步CentOS8
- Hadoop3单机部署,实现最简伪集群
- CentOS8编译安装MySQL8.0.19
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Mario游戏-低调大师作品