“乌云”漏洞报告平台称,蘑菇街CDN加速真实节点泄露以及C段未对arp攻击进行防御导致网站可以被劫持,由于没有对登陆过程中的密码传输进行加密,用户明文密码可被截获。
【IT商业新闻网讯】(记者 苏黛)2月25日消息,近期,“蹭免费Wi-Fi银行卡密码被盗”新闻曝光。而网络安全漏洞报告平台“乌云”指出,在互联网上因用户密码明文传输所导致的安全事件一直存在,女性购物社区蘑菇街就是一例。由于没有对登陆过程中的密码传输进行加密,用户明文密码可被截获。漏洞报告出来后,蘑菇街回复称:“我们会尽快修复此漏洞。”
“乌云”漏洞报告平台称,在互联网上因用户密码明文传输所导致的安全事件一直存在。如网站网段有服务器被黑,攻击者进行ARP嗅探,在用户与厂商毫不之情的情况下,明文密码等信息就被大量窃取。蘑菇街CDN加速真实节点泄露以及C段未对arp攻击进行防御导致网站可以被劫持,由于没有对登陆过程中的密码传输进行加密,用户明文密码可被截获。
蘑菇街CDN加速真实节点泄露以及C段未对arp攻击进行防御,明文传输用户名密码
蘑菇街CDN加速真实节点泄露以及C段未对arp攻击进行防御,明文传输用户名密码
“乌云”漏洞报告平台指出漏洞详情,“通过《御剑》这个软件查询蘑菇街网站CDN加速真实节点查询到IP地址为223.5.20.107,223.5.20.108,通过C段服务器进行arp嗅探可以抓到用户登陆过程以及其他http数据包。”
最后,乌云给出修复方案:“真实网站服务器以及CDN加速节点都对arp攻击进行防御,对登陆过程中传输的密码进行加密传输。 ”
蘑菇街对该漏洞回应称:“非常感谢对蘑菇街安全问题的关注,我们会尽快修复此漏洞。”
- 标签:
