Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

В хостинговой платформе Bluehost обнаружено нексколько уязвимостей

16/01/19

bluehostНезависимый исследователь безопасности Паулос Йибело (Paulos Yibelo) обнаружил в популярной хостинговой платформе Bluehost множественные уязвимости, позволяющие злоумышленникам с легкостью завладеть чужой учетной записью. В частности, эксперт выявил уязвимости раскрытия информации и недостаток проверки подлинности паролей при смене учетных данных.

Самой серьезной проблемой является некорректная конфигурация технологии CORS, позволяющей сайтам обмениваться ресурсами. Если не вдаваться в подробности, в обычных условиях запущенный на одном домене JavaScript-код может читать данные только с этого домена (так называемое правило ограничения домена). В противном случае вредоносное ПО с одного сайта могло бы с легкостью собирать данные с сайтов, открытых пользователем в других вкладках.

В некоторых случаях сайты имеют право запрашивать данные с других доменов через публичные API, здесь и приходит на помощь CORS. К сожалению, из-за неправильной конфигурации CORS в Bluehost подконтрольный злоумышленникам домен может отправлять запросы легитимному домену. Когда легитимный домен отправит ответ, атакующим откроется доступ к данным.

По словам исследователя, реализованной в Bluehost функции CORS недостает соответствующих фильтров для отсеивания сайтов, которым запрещен доступ к данным. По сути, любой сайт с доменным именем Bluehost (например, my.bluehost.com) разрешает читать с него данные любому другому сайту с доменным именем Bluehost. Злоумышленник может отправить запрос с сайта my.bluehost.com.EVIL.com и Bluehost его примет. Bluehost проверяет только первую строку и не учитывает то, что идет после bluehost.com.

Темы:ТехнологииУгрозы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...