• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    盛大云主机致命缺陷致同一物理机用户信息泄露

    时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

    盛大云主机存在一个致命架构缺陷, 导致用户敏感信息泄露。 同一台物理真实主机的所有子虚拟主机都是共用一个网卡. 这导致了,只要云主机的子虚拟主机打开网卡混杂模式时,就能通过嗅探捕获http,ftp,pop等等明文密码。

    (理论上这问题应该是云主机架构问题,应该涉及阿里云等,由于资源有限未进行测试)

    漏洞证明:


    本次测试使用的本地ip

     

    mssql的明文获取,密码就不提了

     


     

    cookie的明文获取,伪造就不提了.

    话说,这种技术就是长期运行监控,涛涛电脑知识网,逮到那个带密码的就那个倒霉.运行上几个月的,涛涛电脑知识网,总有一堆明文密码,这么严重的问题,真不知道怎会被忽略的.

    修复方案:

    1、对所有虚拟机通讯进行加密处理

    2、尝试控制虚拟主机的混杂嗅探模式

  • 上一篇:《读者》订阅金额漏洞测试
  • 下一篇:马克思cms后台拿shell方法
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1