兩名研究人員Jacopo Tediosi、Francesco Mariani發(fā)現(xiàn)�,Akamai在處理HTTP標(biāo)頭的錯誤配置,有可能讓攻擊者得以利用任意內(nèi)容來毒化緩存�����。
兩名研究人員Jacopo Tediosi���、Francesco Mariani發(fā)現(xiàn)��,Akamai在處理HTTP標(biāo)頭的錯誤配置����,有可能讓攻擊者得以利用任意內(nèi)容來毒化緩存����。研究人員指出��,這項弱點(diǎn)是結(jié)合了HTTP挾持與逐節(jié)點(diǎn)(hop-by-hop)標(biāo)題濫用手法��,將影響使用Akamai服務(wù)的大多客戶���,包含美國國防部、PayPal�����、Airbnb��、微軟�、蘋果等���,攻擊者可利用這項漏洞隨意篡改受害公司的網(wǎng)站外觀及行為�。
研究人員Jacopo Tediosi��、Francesco Mariani為了對他們發(fā)現(xiàn)的漏洞進(jìn)行概念性驗(yàn)證����,他們使用了PayPal域名架設(shè)新的緩存網(wǎng)頁,但經(jīng)過漏洞利用后�,內(nèi)容被置換成Akamai另一家客戶電信企業(yè)Sky Mobile網(wǎng)站上的robots.txt���。
這兩名研究人員首先于3月下旬通報Akamai,該公司于4月初著手修補(bǔ)�。但不幸的是,該公司沒有打算提供報酬�����。于是����,研究人員決定也向Akamai的客戶通報此事,結(jié)果他們從安全企業(yè)Whitejar����、PayPal、Airbnb����、凱悅飯店分別獲得5,000美元、25,200美元�����、14,875美元、4,000美元�����。
研究人員表示���,雖然他們想到了變通的方法而沒有做白工��,但因?yàn)锳kamai沒有漏洞懸賞制度����,其他研究人員若是找到該公司系統(tǒng)的漏洞�����,很可能因?yàn)闊o法獲得報酬而不給通報�����,甚至將漏洞賣給黑市����。
閩公網(wǎng)安備 35010202001226號
