Source: Slashdot
一名安全研究员曝光了WHOIS系统中的一个关键漏洞。watchTowr的首席执行官Benjamin Harris通过注册一个曾用于.mobi权威WHOIS服务器的过期域名,获得了前所未有的访问权限。他的非法服务器接收了来自数千个系统的数百万个查询,包括政府机构、证书授权机构和大型科技公司。
Harris指出,这个非法的WHOIS服务器赋予了他不应拥有的权限。其中之一就是他能够操控证书授权机构GlobalSign用来判断申请TLS证书的方是否是域名的合法拥有者的电子邮件地址。GlobalSign与大多数竞争对手一样,采用自动化流程。
例如,在申请example.com时,证书授权机构会向该域名的权威WHOIS所列的管理邮箱发送邮件。如果接收方点击链接,则证书会自动获批。当Harris为microsoft.mobi生成证书签名请求后,他立刻收到GlobalSign的电子邮件,其中包含将验证链接发送到whois@watchtowr.com的选项。
基于伦理原因,他在这一点上停止了实验。该漏洞源于过时的WHOIS客户端配置,凸显了互联网基础设施管理中的系统性弱点。
在纷繁复杂的互联网世界中,谁来保障我们的信息安全?这是一道值得深思的课题。
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
info@microheadline.com
来源:https://it.slashdot.org/story/24/09/11/1749259/security-researcher-exposes-critical-whois-vulnerability?utm_source=rss1.0mainlinkanon&utm_medium=feed
https://www.orillia-computer.ca/security-oversight-by-mobi-domain-registrar-allows-a-20-whois-exploit-to-take-partial-control-of-the-mobi-top-level-domain
https://techcrunch.com/2021/09/17/epik-website-bug-hacked/
