Об уязвимости GoDaddy сообщил в субботу Дилан Саккоманни, исследователь веб-приложени безопасности и тестирования на проникновение консультант в Нью-Йорке. Без каких-либо задержек времени, компания исправили ошибку в менее чем 24 часов после того,как блог был опубликован.
При управлении старый домен, зарегистрированный на GoDaddy, наткнулся на ошибку и заметил, что не было абсолютно никакой защиты от CSRF уязвимости на многих управленческих действиях DNS GoDaddy.
Cross-Site Request (CSRF) является метод нападения на веб-сайт, в котором злоумышленнику нужно убедить жертву, чтобы нажать на специально сформированного HTML эксплуатированую страницу, которая будет обращаться с просьбой к уязвимой от их имени.
Это общее, а хроническая уязвимость веб-приложения может быть использована злоумышленниками для манипулирования настройки домена в иных местах или даже захватить весь домен без каких-либо знаний жертвы (домена покупателя).
"Злоумышленник может использовать уязвимости CSRF и взять на себя домены, зарегистрированные в GoDaddy," Саккоманни написал на своем блоге.
По мнению исследователя, не было CSRF присутствует в теле запросах или заголовках, и не соблюдает Referrer, POST-коды, необходимые для редактирования серверов имен,
Все нападения нужно сделать, используя какую-то социальную инженерную тактику, чтобы эксплуатировать уязвимость CSRF.
"Им не нужно конфиденциальную информацию о счете жертвы, либо - для автоматического обновления и серверы имен, вам не нужно ничего знать", сказал Саккоманни. "Для делопроизводства DNS, все, что вам нужно знать, доменное имя записей DNS."
GoDaddy не мог сразу ответить на вопрос или сказать, были ли пользователи счета были скомпрометированы.
Саккоманни сказал он попытался связаться с GoDaddy, используя много различных адресов электронной почты, связанный с безопасностью и техники, а также поддержки клиентов для того, чтобы сообщить о изъян.
Он получил ответ , что не будет «ни сроки" патча. Тем не менее, вчера он заметил, что защита от CSRF была реализован на месте.
Источник: thehackernews.com
ПЕРЕВОД
Комментариев нет:
Отправить комментарий