外媒曝出一起Gov域名冒名顶替事件,注册申请流程到底存在怎样的漏洞?
本月初,KerbsOnSecurity 收到了一位研究人员的电子邮件,声称其通过简单的手段,就轻松拿到了 .GOV 域名。若这一漏洞被利用,或导致 .Gov 域名出现信任危机。
其表示,自己通过填写线上表格,从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息,并在申请材料中冒名为当地官员,就成功地骗取了审核者的信任。
(题图 via KrebsOnSecurity)
这位要求匿名的消息人士称:其使用了虚假的 Google 语音号码和虚假的 Gmail 地址,但这一切只是出于思想实验的目的,资料中唯一真实的,就是政府官员的名字。
据悉,这封邮件是从 exeterri.gov 域名发送来的。该域名于 11 月 14 日注册,网站内容与其模仿的 .us 站点相同(罗德岛州埃克塞特的 Town.exeter.ri.us 网站,现已失效)。
消息人士补充道:其必须填写正式的授权表单,但基本上只需列出管理员、技术人员和计费人员等信息。
此外,它需要打印在“官方信笺”上,但你只需搜索一份市政府的公文模板,即可轻松为伪造。
然后通过传真或邮件发送,审核通过后,即可注册机构发来的创建链接。
从技术上讲,这位消息人士已涉嫌邮件欺诈。若其使用了美国境内的服务,还可能遭到相应的指控。但是对于藏在暗处的网络犯罪分子来说,这个漏洞显然求之不得。
为了堵上流程漏洞,爆料人希望能够引入更加严格的 ID 认证。尽管他所做的实验并不合法,但事实表明确实很容易得逞。
今天早些时候,KrebsOnSecurity 与真正的埃克塞特官员取得了联系。某不愿透露姓名的工作人员称,GSA 曾在 11 月 24 日向市长办公室打过电话。
然而这通电话是在其向联邦机构提出询问的四天之后,距离仿冒域名通过审批更是已过去 10 天左右。
尽管没有直接回应,但该机构还是写到:“GSA 正在与当局合作,且已实施其它预防欺诈的控制措施”。至于具体有哪些附加错误,其并未详细说明。
不过 KrebsOnSecurity 确实得到了国土安全部下属网络安全与基础设施安全局的实质性回应,称其正在努力为 .gov 域名提供保护。
- dns域名系统主要负责主机名和什么之间的解析
- 我的电脑上不了网,显示解析域名错误
- 不带www的域名如何处理
- 如何解析域名与DNS
- dns服务器如何拒绝一些域名解析?
- 分类信息使用二级域名还是子目录?
- 什么是域名解析文件?它有什么用?
- 怎么用.htaccess绑定二级域名到子目录
- 求问域名解析和域名绑定有什么区别
- 求助一个关于域名的问题
- tk域名的解析域名的问题
- 系统出现很多的域名解析文件是怎么回事啊?
- 二级域名绑定子目录
- ncm代码是什么?
- 域名不解析
- 怎么解析域名到IP?
- 如何取消万网域名公益解析?
- ADSL拨号的内网架设邮件服务器,如何设置域名解析和反向解析?
- 淘宝二级域名是什么
- 站中站网站模式的目前如何做域名解析
-
台湾dc是什么软件
-
为啥51进不去了,听说要倒闭了?真的假的?
-
企业域名邮箱怎么申请注册?公司的邮箱怎么登陆
-
申请永久免费的二级域名网站
-
国外免费域名网站注册
-
https开头的网址用什么浏览器可以打开啊?
-
.xyz是哪里的域名?
-
D.C.资讯交流网-[综合论坛]-关闭注册 - Powered by Discuz! 哪个可以给我个网址啊~~
-
您好,手机打开锁屏是出现的热点资讯是哪个软件带出来的?
-
网站域名:http://www.fff01.com/ 打开之后网址为 http://www.fff01.com/portal.php?mod=topic&topicid=1
-
紧急通知:www.13008.com马上停用,请用新域名www.026888.com 访问本站,这消息是真的吗
-
中央网信办有哪几个局?
-
武汉icp许可证如何申请条件
-
5d6d论坛怎么变成 WWW.XXXX.COM
-
兼具三层结构的新闻标题例子有哪些?在线等,急!