亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　安全工程師Dylan Saccomanni近日在GoDaddy域名管理控制臺(tái)上發(fā)現(xiàn)一個(gè)跨站請(qǐng)求偽造（CSRF）漏洞，攻擊者利用該漏洞可以控制用戶在GoDaddy上注冊(cè)的域名。Godaddy是全球目前最大的域名提供商，擁有全球域名市場(chǎng)的百分之三十的份額。

　　漏洞詳情

　　該漏洞是Saccomanni1月17號(hào)在管理域名時(shí)發(fā)現(xiàn)的。攻擊者可以利用該漏洞編輯域名服務(wù)，更改自動(dòng)更新設(shè)置或者編輯域名內(nèi)容。

　　跨站請(qǐng)求偽造類似于跨站腳本漏洞（XSS），大多數(shù)時(shí)候，這類漏洞需要結(jié)合一些欺騙或者社會(huì)工程學(xué)方法才能造成危害。但這個(gè)漏洞由于牽扯到域名管理，所以相對(duì)來(lái)說(shuō)比較嚴(yán)重。攻擊者可以利用跨站請(qǐng)求偽造（CSRF）漏洞在用戶不知情的情況下控制域名。

　　下面是一個(gè)保存域名服務(wù)器設(shè)置的POST請(qǐng)求：

　　POST/dcc50/Modals/DomainActions/NSManageWS.asmx/ValidateNameserver HTTP/1.1

　　Host： dcc.godaddy.com

　　User-Agent：Mozilla/5.0 (Macintosh； Intel Mac OS X 10.10； rv：34.0) Gecko/20100101Firefox/34.0

　　Accept：application/json， text/javascript， */*； q=0.01

　　Accept-Language：en-US，en；q=0.5

　　Accept-Encoding：gzip， deflate

　　Content-Type：application/json； charset=utf-8

　　X-Requested-With：XMLHttpRequest

　　Content-Length： 175

　　Cookie： [REDACTED]

　　Connection： keep-alive

　　Pragma： no-cache

　　Cache-Control：no-cache

　　{'request'：'{"isall"：false，"nsobjs"：[{"ns"："foo.example.com"，"ips"：[]，"index"：0，"add"：1，"status"：""}，{"ns"："bar.example.com"，"ips"： []，"index"：1，"add"：1，"status"：""}]}'}

　　白帽子18日把報(bào)告提交給GoDaddy團(tuán)隊(duì)，19日他們就修復(fù)了，漏洞響應(yīng)速度真的著實(shí)驚人。