: NIC.gp 的安全研究员和研发人员 Michel Gaschet 于近日提出,Microsoft 在其数千个子域的管理方面有一定的问题,存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。 ...
NIC.gp 的安全研究员和研发人员 Michel Gaschet 于近日提出,Microsoft在其数千个子域的管理方面有一定的问题,存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。
据ZDNet报道称,Gaschet在接受其采访时说,在过去三年中,他一直在向 Microsoft 报告带有错误配置的 DNS 记录的子域,但该公司要么忽略报告,要么就是默默地保护某些子域。
Gaschet表示,他已经在 2017 年向微软报告了 21 个容易受到劫持的域 [12],并在 2019 年报告了 142 个错误配置的 子域[12]。此外,他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。
Gaschet透露,在其报告的所有错误配置的子域中,微软仅解决了其中的几个,被修复的数量占比只有他所报告数量的5%-10%左右。并称,该操作系统制造商通常会修复较大的子域,例如和,却使其他子域暴露在劫持之下。
他还表示,大多数 Microsoft 子域在其各自的 DNS 条目中容易受到基本错误配置的攻击。Gaschet称,“最终的原因/错误是忘记了 DNS 条目,指向不再存在或根本不存在的内容,例如 DNS 条目内容中的错字。”
目前,ZDNet 已向微软征求意见,并要求该公司在当日的 Twitter 话题中对 Gaschet 提出的一系列问题发表评论。
Gaschet 在 Twitter 上猜测,微软不优先解决这样一些问题的原因之一是因为“subdomain takeovers”不属于公司的漏洞悬赏计划的一部分,这在某种程度上预示着即使所报告的问题很严重,这些报告也不会得到优先处理。
同时,Gaschet 敦促微软改变其管理 DNS 记录的方式。并称,这是造成这些错误配置的主要原因。
google才几岁?[url=谈红色变,红是造假的代名词吧,红你妹啊。: 看着牙疼!看着牙疼!搞笑呢?能说脏话吗?不能,那没什么好说的了!苏苏呵呵哦?有人爱我吗?System76还有自己的OS。现在可以递送到很多地区了。英语太差了,回去补课吧。腾讯,多年在中国占据软件第一的位置,可惜,除了QQ、微信外,什么都没做出来。联合查询呢?
hash join有了么?垃圾文章!挺好中国,还得是华为!赞!中国人就是不干正事,搞什么少数民族语言,把libreoffice加上系列码,都是找骂的事,就是不干正事。腾讯也搞芯片,太搞笑了吧?腾讯存在多少年了?过去这么多年腾讯干什么去了?
小米都造出自己的松果仁了,腾讯干什么了?最后三个图的区别是这样的吗?不对的地方请指出
class B{void m(){t();s();}hello测试是不是真的好个,就是一骗子喜大普奔!这个core的广告我非常赞同!PgSQL迟早会是第一。Windows只是个OS,LINUX是整个完整的开发、应用、办公环境。有什么好比的呢?
把买Windows的钱捐给Linux基金更好吧。一群无聊的人上述表达式有一处错误。老实说,除了最后一个,其他我都会,请重新再启动计算机!你好,请问analysis中的属性标签是如何定义的?比如:“role”。另外,这里的timepark怎么加入的?我和我的小伙伴都惊呆了!database呢?node.js??哈哈其实主要是没有好的office和email-client。土豪,我们做朋友吧!病的不轻啊。这样的游戏从哪里下载的太给力了!太给力了!太给力了!太给力了!按照步骤搭建不出来求救史无前例的震撼!太给力了!太给力了!发个评论测试一下这个滚动框是不是真的太给力了!太给力了!
