日韩一区,国产二区,欧美三区,日本大片在线看黄a∨免费,欧美人体做爰大胆视频,欧洲美女黑人粗性暴交视频,日,韩,欧美一区二区三区

Microsoft.com等微軟系網(wǎng)站被發(fā)現(xiàn)存在子域劫持問(wèn)題

NIC.gp 的安全研究員和開(kāi)發(fā)人員 Michel Gaschet 于近日提出,Microsoft?在其數(shù)千個(gè)子域的管理方面存在問(wèn)題,存在有許多子域可以被劫持并用于攻擊用戶、員工或顯示垃圾內(nèi)容。據(jù)?ZDNet?報(bào)道稱,Gaschet?在接受其采訪時(shí)說(shuō),在過(guò)去三年中,他一直在向 Microsoft 報(bào)告帶有錯(cuò)誤配置的 DNS 記錄的子域,但該公司要么忽略報(bào)告,要么就是默默地保護(hù)某些子域。

Gaschet?表示,他已經(jīng)在 2017 年向微軟報(bào)告了 21 個(gè)容易受到劫持的 msn.com?子域 [1,?2],并在 2019 年報(bào)告了 142 個(gè)錯(cuò)誤配置的 microsoft.com 子域?[1,?2]。此外,他還分享了其于去年向微軟報(bào)告的 117 個(gè) microsoft.com 子域列表。

Microsoft.com等微軟系網(wǎng)站被發(fā)現(xiàn)存在子域劫持問(wèn)題插圖

圖片:?ZDNet

Gaschet?透露,在其報(bào)告的所有錯(cuò)誤配置的子域中,微軟僅解決了其中的幾個(gè),被修復(fù)的數(shù)量占比只有他所報(bào)告數(shù)量的?5%-10%?左右。并稱,該操作系統(tǒng)制造商通常會(huì)修復(fù)較大的子域,例如?cloud.microsoft.com?和?account.dpedge.microsoft.com,卻使其他子域暴露在劫持之下。

他還表示,大多數(shù) Microsoft 子域在其各自的 DNS 條目中容易受到基本錯(cuò)誤配置的攻擊。Gaschet 稱,“根本原因/錯(cuò)誤是忘記了 DNS 條目,指向不再存在或根本不存在的內(nèi)容,例如 DNS 條目?jī)?nèi)容中的錯(cuò)字?!?/p>

Gaschet 在 Twitter 上指出,至少有一個(gè)垃圾郵件小組已經(jīng)發(fā)現(xiàn)了他們可以劫持 Microsoft 的子域,并通過(guò)將其托管在信譽(yù)良好的域中來(lái)增加其垃圾內(nèi)容。并表明,他已在至少四個(gè)合法的 Microsoft 子域中發(fā)現(xiàn)了印度尼西亞撲克賭場(chǎng)的廣告,分別為 portal.ds.microsoft.com、perfect10.microsoft.com、ies.global.microsoft.com 和 blog-ambassadors.microsoft.com。

目前,ZDNet 已向微軟征求意見(jiàn),并要求該公司在當(dāng)日的 Twitter 話題中對(duì) Gaschet 提出的一系列問(wèn)題發(fā)表評(píng)論。

Gaschet 在 Twitter 上猜測(cè),微軟不優(yōu)先解決這些問(wèn)題的原因之一是因?yàn)椤皊ubdomain takeovers”不屬于公司的漏洞懸賞計(jì)劃的一部分,這意味著即使所報(bào)告的問(wèn)題很嚴(yán)重,這些報(bào)告也不會(huì)得到優(yōu)先處理。

同時(shí),Gaschet 敦促微軟改變其管理 DNS 記錄的方式。并稱,這是造成這些錯(cuò)誤配置的主要原因。

給TA打賞
共{{data.count}}人
人已打賞
0 條回復(fù) A文章作者 M管理員
    暫無(wú)討論,說(shuō)說(shuō)你的看法吧
QQ客服
  • QQ176363189 點(diǎn)擊這里給我發(fā)消息
旺旺客服
  • 速度網(wǎng)絡(luò)服務(wù)商 點(diǎn)這里給我發(fā)消息
電子郵箱
  • sudu@yunjiasu.cc
微信客服
  • suduwangluo