hacker lợi dụng lỗi chiếm tên miền từ GoDaddy

GoDaddy vừa vá lỗi khẩn cấp một lỗ hổng dạng CSRF, có thể bị hacker khai thác chiếm giữ các tên miền đăng ký từ dịch vụ này.

Lỗ hổng bảo mật đã được chuyên gia nghiên cứu bảo mật ứng dụng web Dylan Saccomanni tại New York thông báo đến GoDaddy. Trong 24 giờ, GoDaddy nhanh chóng khẩn cấp khắc phục trước khi thông tin về lỗ hổng lan ra.

Dylan Saccomanni khám phá lỗ hổng trong phần quản lý DNS của GoDaddy khi đang quản lý tên miền của mình đăng ký tại dịch vụ này.

Cross-Site Request Forgery (CSRF) là phương thức tấn công một website, mà trong đó, kẻ tấn công cần đánh lừa nạn nhân click vào một tập tin HTML chứa mã khai thác lỗ hổng, từ đó tạo ra một yêu cầu đến website mắc lỗi nhân danh nạn nhân.

Theo cách này, kẻ tấn công có thể áp đặt các thiết lập của mình lên tên miền của nạn nhân, hoặc chiếm giữ toàn bộ tên miền mà nạn nhân (chủ sở hữu tên miền) không hay biết.

“Một kẻ tấn công có thể lợi dụng lỗ hổng CSRF để chiếm toàn bộ tên miền đăng ký tại GoDaddy” – Dylan Saccomanni viết trên blog cá nhân

Theo chuyên gia này, kẻ tấn công thậm chí không cần những thông tin về tài khoản đăng nhập để quản lý tên miền từ chủ sở hữu, và nếu chỉ để thay đổi các chế độ như tự động mua tiếp khi hết hạn (auto-renew) hay tên máy chủ (nameserver) thì họ không cần biết bất kỳ thông tin gì. Với những dữ liệu DNS, kẻ tấn công chỉ cần nắm thông tin DNS hiện hữu của tên miền, mà thông tin này có thể dễ dàng lấy được khi tìm trên các trang mạng.

GoDaddy là một trong những dịch vụ đăng ký tên miền và lưu trữ web (hosting) lớn nhất thế giới. Theo DomainTools, GoDaddy hiện đang nắm giữ 37,8 triệu tên miền website (domain name), so với 8,6 triệu tên miền của dịch vụ Amazon.

Theo Báo Tuổi Trẻ

  • 19/07/2022
  • Đào Anh
  • Công Nghệ
Facebook xử lý dữ liệu hành vi người dùng như thế nào?

Facebook xử lý dữ liệu hành vi người dùng như thế nào?

Các nhà khoa học của Facebook đang cố gắng tìm hiểu các hành vi của con người thông qua nguồn dữ liệu khổng lồ. Những khám phá của họ có thể giúp mạng xã hội này thu được rất nhiều tiền từ cơ sở dữ liệu khổng lồ đó. Facebook…Xem Thêm

Bị  ” luộc ” linh kiện laptop khi đi sửa chữa

Bị ” luộc ” linh kiện laptop khi đi sửa chữa

Laptop bị hỏng nhẹ, sau khi đi sửa về chạy được vài ngày thì không dùng được nữa. Sơ sẩy là “luộc” Chị Hoàng Anh, nhân viên văn phòng (Q.1, TP.HCM) do bất cẩn trong quá trình sử dụng nên chiếc laptop hiệu Dell bị hỏng ổ cứng và card…Xem Thêm

Địa danh có tên miền dài nhất thế giới

Địa danh có tên miền dài nhất thế giới

Kỷ lục này thuộc về ngôi làng trên đảo Anglesey của xứ Wales với cái tên dài tới 58 ký tự không chứa dấu cách. Llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch (gọi tắt là Llanfair PG) có nghĩa “nhà thờ thánh Mary tại thung lũng cây phỉ trắng gần xoáy nước và nhà thờ thánh…Xem Thêm

Tên miền yêu thích đã bị đăng ký bạn giải quyết như thế nào?

Tên miền yêu thích đã bị đăng ký bạn giải quyết như thế nào?

Những tên miền dễ nhớ, độc đáo, đặc trưng theo ngành càng ngày càng khó kiếm. Nghĩ theo hướng tích cực, đây là một bước tiến lớn của thương mại điện tử vì càng lúc càng có nhiều doanh nghiệp quan tâm đến việc đầu tư thương hiệu online. Tuy…Xem Thêm

Doanh nghiệp muốn mở rộng sang thị trường nước ngoài và các vấn đề liên quan tên miền

Doanh nghiệp muốn mở rộng sang thị trường nước ngoài và các vấn đề liên quan tên miền

Từ đầu những năm 2000, tên miền đã được phép đăng ký bởi nhiều ngôn ngữ khác nhau – ví dụ 例子.com là tên miền tiếng Trung hợp lệ. Điều này giúp cho người dùng địa phương ít phụ thuộc hơn vào bảng chữ cái tiếng Anh khi sử dụng…Xem Thêm