兩名研究人員Jacopo Tediosi���、Francesco Mariani發(fā)現(xiàn)���,Akamai在處理HTTP標頭的錯誤配置,有可能讓攻擊者得以利用任意內(nèi)容來毒化緩存���。
兩名研究人員Jacopo Tediosi���、Francesco Mariani發(fā)現(xiàn)���,Akamai在處理HTTP標頭的錯誤配置,有可能讓攻擊者得以利用任意內(nèi)容來毒化緩存���。研究人員指出���,這項弱點是結(jié)合了HTTP挾持與逐節(jié)點(hop-by-hop)標題濫用手法���,將影響使用Akamai服務(wù)的大多客戶,包含美國國防部���、PayPal���、Airbnb、微軟���、蘋果等���,攻擊者可利用這項漏洞隨意篡改受害公司的網(wǎng)站外觀及行為。
研究人員Jacopo Tediosi���、Francesco Mariani為了對他們發(fā)現(xiàn)的漏洞進行概念性驗證���,他們使用了PayPal域名架設(shè)新的緩存網(wǎng)頁,但經(jīng)過漏洞利用后���,內(nèi)容被置換成Akamai另一家客戶電信企業(yè)Sky Mobile網(wǎng)站上的robots.txt���。
這兩名研究人員首先于3月下旬通報Akamai,該公司于4月初著手修補���。但不幸的是���,該公司沒有打算提供報酬。于是���,研究人員決定也向Akamai的客戶通報此事���,結(jié)果他們從安全企業(yè)Whitejar、PayPal���、Airbnb���、凱悅飯店分別獲得5,000美元、25,200美元���、14,875美元���、4,000美元。
研究人員表示���,雖然他們想到了變通的方法而沒有做白工���,但因為Akamai沒有漏洞懸賞制度���,其他研究人員若是找到該公司系統(tǒng)的漏洞,很可能因為無法獲得報酬而不給通報���,甚至將漏洞賣給黑市���。
閩公網(wǎng)安備 35010202001226號
