压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　安全工程師Dylan Saccomanni近日在GoDaddy域名管理控制臺上發(fā)現(xiàn)一個跨站請求偽造（CSRF）漏洞，攻擊者利用該漏洞可以控制用戶在GoDaddy上注冊的域名。Godaddy是全球目前最大的域名提供商，擁有全球域名市場的百分之三十的份額。

　　漏洞詳情

　　該漏洞是Saccomanni1月17號在管理域名時發(fā)現(xiàn)的。攻擊者可以利用該漏洞編輯域名服務(wù)，更改自動更新設(shè)置或者編輯域名內(nèi)容。

　　跨站請求偽造類似于跨站腳本漏洞（XSS），大多數(shù)時候，這類漏洞需要結(jié)合一些欺騙或者社會工程學(xué)方法才能造成危害。但這個漏洞由于牽扯到域名管理，所以相對來說比較嚴(yán)重。攻擊者可以利用跨站請求偽造（CSRF）漏洞在用戶不知情的情況下控制域名。

　　下面是一個保存域名服務(wù)器設(shè)置的POST請求：

　　POST/dcc50/Modals/DomainActions/NSManageWS.asmx/ValidateNameserver HTTP/1.1

　　Host： dcc.godaddy.com

　　User-Agent：Mozilla/5.0 (Macintosh； Intel Mac OS X 10.10； rv：34.0) Gecko/20100101Firefox/34.0

　　Accept：application/json， text/javascript， */*； q=0.01

　　Accept-Language：en-US，en；q=0.5

　　Accept-Encoding：gzip， deflate

　　Content-Type：application/json； charset=utf-8

　　X-Requested-With：XMLHttpRequest

　　Content-Length： 175

　　Cookie： [REDACTED]

　　Connection： keep-alive

　　Pragma： no-cache

　　Cache-Control：no-cache

　　{'request'：'{"isall"：false，"nsobjs"：[{"ns"："foo.example.com"，"ips"：[]，"index"：0，"add"：1，"status"：""}，{"ns"："bar.example.com"，"ips"： []，"index"：1，"add"：1，"status"：""}]}'}

　　白帽子18日把報告提交給GoDaddy團(tuán)隊，19日他們就修復(fù)了，漏洞響應(yīng)速度真的著實驚人。