5個熱門網站代管平台皆含有安全漏洞

 專門評測各種網絡服務的Website Planet針對了熱門的5個網站代管平台展開(kāi)調查，發現它們或多或少都具備安全漏洞，用戶隻要點選一(yī)個連結或造訪惡意網站，帳号就可能被黑客接管。

Website Planet所調查的5家網站代管平台涵蓋了Bluehost、Dreamhost、HostGator、OVH及iPage，顯示這5個平台都至少含有一(yī)個安全漏洞。

其中(zhōng)的Bluehost含有4個安全漏洞，其中(zhōng)一(yī)個是因跨域資(zī)源共享(Cross-Origin Resource Sharing，CORS)的配置錯誤，将允許黑客竊取個人資(zī)訊、部份的支付細節，以及使用者用來存取WordPress、Mojo或SiteLock等基于OAuth的權杖。

另一(yī)個漏洞則是源自于Bluehost在處理請求及驗證上的配置錯誤，允許黑客竄改Bluehost用戶的電(diàn)子郵件位址，在誘導使用者點選惡意連結或造訪惡意網站之後，可用新郵件位址送出密碼重設函，進而接管使用者帳号。

還有一(yī)個漏洞肇因于Bluehost未能适當驗證CORS，而讓位于同一(yī)網絡(如公開(kāi)Wi-Fi網絡或區域網絡)中(zhōng)的黑客以明文讀取受害者的Bluehost流量。且my.bluehost.com亦含有跨站指令碼(XSS)攻擊漏洞，允許黑客新增或變更屬性，若變更了用戶的電(diàn)子郵件帳号，就能藉由重設密碼取得帳号權限。

Dreamhost則同樣含有XSS漏洞，也可用來變更電(diàn)子郵件帳号并取得Dreamhost平台的帳号權限。不論是Bluehost或Dreamhost的XSS漏洞都因平台在使用者變更電(diàn)子郵件帳号時未要求輸入密碼，而簡化了攻擊流程。

至于HostGator的問題則出在于該平台雖然部署了跨站請求僞造(CSRF)的保護機制，卻可透過變更參數來繞過該機制，因而允許黑客編輯用戶個人檔案，包括電(diàn)子郵件及個人資(zī)訊，進而取得帳号權限。此外(wài)，該平台同樣存在着配置錯誤的CORS，可引發中(zhōng)間人攻擊及資(zī)訊外(wài)洩。

OVH平台的CSRF保護機制同樣可被繞過而讓黑客接管帳号權限，另還存在API配置錯誤的問題，允許任何網站讀取OVH的API回應。

iPage上的帳号接管漏洞則有些匪夷所思，主要因爲該站的密碼變更服務并不需要輸入現有密碼，于是任何網站都能夠透過傳送跨域請求，以受害者的使用者名稱來設定新密碼。

再者，iPage亦含有屬性安全政策繞過漏洞，允許黑客注射惡意屬性，進而執行中(zhōng)間人攻擊或跨站攻擊。

安全研究人員(yuán)Paulos Yibelo指出，上述漏洞都很容易開(kāi)采，意味着使用者不管采用了哪個代管服務，都應該采取其它措施來強化網站的安全性。