6月28日讯,因新网忽略漏洞,用户遭殃,大众点评网域名dianping.com就曾被劫持。窝窝团研发副总裁 @郑昀 还原点评网域名被劫持记录,大众点评网被黑时,网站工程师竟然无奈到要自己黑回来!如此戏剧性的一幕,为何会出现?
早在6月12日,白帽子工程师Finger就已将新网任意域名劫持漏洞,提交到乌云网站上,并通知了新网,该做的都做的,该提醒了也提醒了,也算仁至义尽了。孰料新网却以未知原因为借口,未受理此漏洞,历史教训告诉我们,*不要忽略别人指出来的漏洞,哪怕对方说的很模糊,自己也要亲自验证,查明真相。
6月17日新网漏洞因没有厂商受理,自动进入公布状态,漏洞细节向公众公开。当日22点杯具发生了,点评网Name Server记录被改,域名在新网的登陆密码也被更改了,大众点评网“中枪”了。
22:24之后,点评网运维工程师发现了问题,就立即登陆新网系统,却没办法登陆,急忙联系新网客服,却又未果,无奈之下只好利用乌云上纰漏的漏洞细节,采用同样的办法hack进入新网后台,恢复dianping.com的NS记录。用别人攻击自己的方法,再去“黑自己”以寻求解救方法,点评网很是无奈。
虽然恢复了域名的NS记录,但是攻击者随时能够改回来,点评网就通过关系联系到新网高层,将域名临时设置为禁止更新。6月18日,新网开始修复漏洞,到中午左右完成修复。
网友感慨:让用户为自己的错误付出代价,新网不厚道啊。
本文由互联网用户投稿后自动生成,不代表本站认同其观点,如有异议可发邮件至editor@ename.com申诉。
闽公网安备 35020302000714号
参与评论
加载更多