蓝莓酱
一名安全研究员曝光了WHOIS系统中的一个关键漏洞。watchTowr的首席执行官Benjamin Harris通过注册一个曾用于.mobi权威WHOIS服务器的过期域名,获得了前所未有的访问权限。他的非法服务器接收了来自数千个系统的数百万个查询,包括政府机构、证书授权机构和大型科技公司。 Harris指出,这个非法的WHOIS服务器赋予了他不应拥有的权限。其中之一就是他能够操控证书授权机构GlobalSign用来判断申请TLS证书的方是否是域名的合法拥有者的电子邮件地址。GlobalSign与大多数竞争对手一样,采用自动化流程。 例如,在申请example.com时,证书授权机构会向该域名的权威WHOIS所列的管理邮箱发送邮件。如果接收方点击链接,则证书会自动获批。当Harris为microsoft.mobi生成证书签名请求后,他立刻收到GlobalSign的电子邮件,其中包含将验证链接发送到whois@watchtowr.com的选项。 基于伦理原因,他在这一点上停止了实验。该漏洞源于过时的WHOIS客户端配置,凸显了互联网基础设施管理中的系统性弱点。
