外媒曝出一起Gov域名冒名顶替事件,注册申请流程到底存在怎样的漏洞?
本月初,KerbsOnSecurity 收到了一位研究人员的电子邮件,声称其通过简单的手段,就轻松拿到了 .GOV 域名。若这一漏洞被利用,或导致 .Gov 域名出现信任危机。
其表示,自己通过填写线上表格,从美国一个只有 .us 域名的小镇主页上抓取了部分抬头信息,并在申请材料中冒名为当地官员,就成功地骗取了审核者的信任。
(题图 via KrebsOnSecurity)
这位要求匿名的消息人士称:其使用了虚假的 Google 语音号码和虚假的 Gmail 地址,但这一切只是出于思想实验的目的,资料中唯一真实的,就是政府官员的名字。
据悉,这封邮件是从 exeterri.gov 域名发送来的。该域名于 11 月 14 日注册,网站内容与其模仿的 .us 站点相同(罗德岛州埃克塞特的 Town.exeter.ri.us 网站,现已失效)。
消息人士补充道:其必须填写正式的授权表单,但基本上只需列出管理员、技术人员和计费人员等信息。
此外,它需要打印在“官方信笺”上,但你只需搜索一份市政府的公文模板,即可轻松为伪造。
然后通过传真或邮件发送,审核通过后,即可注册机构发来的创建链接。
从技术上讲,这位消息人士已涉嫌邮件欺诈。若其使用了美国境内的服务,还可能遭到相应的指控。但是对于藏在暗处的网络犯罪分子来说,这个漏洞显然求之不得。
为了堵上流程漏洞,爆料人希望能够引入更加严格的 ID 认证。尽管他所做的实验并不合法,但事实表明确实很容易得逞。
今天早些时候,KrebsOnSecurity 与真正的埃克塞特官员取得了联系。某不愿透露姓名的工作人员称,GSA 曾在 11 月 24 日向市长办公室打过电话。
然而这通电话是在其向联邦机构提出询问的四天之后,距离仿冒域名通过审批更是已过去 10 天左右。
尽管没有直接回应,但该机构还是写到:“GSA 正在与当局合作,且已实施其它预防欺诈的控制措施”。至于具体有哪些附加错误,其并未详细说明。
不过 KrebsOnSecurity 确实得到了国土安全部下属网络安全与基础设施安全局的实质性回应,称其正在努力为 .gov 域名提供保护。
- 什么是域名解析??刚注册域名怎么用??
- 哪位大神,推荐个好用的DNS呗
- 您输入的域名无法解析,查找正确域名
- 怎样检查和设置万网邮箱MX解析记录
- 域名的注册和管理?
- 如何在万网虚拟主机上挂多个网站,详细讲解?
- 最近是不是新网的域名不能解析了
- 如何知道域名是否解析成功
- 谁在时代互联买域名了叫下我怎么解析
- 域名解析文件(HOSTS)存在异常
- 所有二级域名被百度封了,不知道怎么回事
- 域名怎么解析到服务器
- 现在的主域名网站不动,需要新做个二级域名的手机站,以后优化推广网站的话,是不是需要优化两个站?
- 怎么在时代互联解析域名
- 阿里云 云解析 可以绑定2个域名吗
- 为什么在host中会自动生成固定的一个域名解析
- dns域名系统主要负责主机名和什么之间的解析
- 我的电脑上不了网,显示解析域名错误
- 不带www的域名如何处理
- 如何解析域名与DNS
-
台湾dc是什么软件
-
为啥51进不去了,听说要倒闭了?真的假的?
-
IP138的域名解析是怎么做的?
-
企业域名邮箱怎么申请注册?公司的邮箱怎么登陆
-
.xyz是哪里的域名?
-
申请永久免费的二级域名网站
-
D.C.资讯交流网-[综合论坛]-关闭注册 - Powered by Discuz! 哪个可以给我个网址啊~~
-
5d6d论坛怎么变成 WWW.XXXX.COM
-
国外免费域名网站注册
-
https开头的网址用什么浏览器可以打开啊?
-
您好,手机打开锁屏是出现的热点资讯是哪个软件带出来的?
-
怎么安全的申请和收藏域名
-
网站域名:http://www.fff01.com/ 打开之后网址为 http://www.fff01.com/portal.php?mod=topic&topicid=1
-
中央网信办有哪几个局?
-
紧急通知:www.13008.com马上停用,请用新域名www.026888.com 访问本站,这消息是真的吗