两名研究人员Jacopo Tediosi、Francesco Mariani发现,Akamai在处理HTTP标头的错误配置,有可能让攻击者得以利用任意内容来毒化缓存。研究人员指出,这项弱点是结合了HTTP挟持与逐节点(hop-by-hop)标题滥用手法,将影响使用Akamai服务的大多客户,包含美国国防部、PayPal、Airbnb、微软、苹果等,攻击者可利用这项漏洞随意篡改受害公司的网站外观及行为。
研究人员Jacopo Tediosi、Francesco Mariani为了对他们发现的漏洞进行概念性验证,他们使用了PayPal域名架设新的缓存网页,但经过漏洞利用后,内容被置换成Akamai另一家客户电信企业Sky Mobile网站上的robots.txt。
这两名研究人员首先于3月下旬通报Akamai,该公司于4月初着手修补。但不幸的是,该公司没有打算提供报酬。于是,研究人员决定也向Akamai的客户通报此事,结果他们从安全企业Whitejar、PayPal、Airbnb、凯悦饭店分别获得5,000美元、25,200美元、14,875美元、4,000美元。
研究人员表示,虽然他们想到了变通的方法而没有做白工,但因为Akamai没有漏洞悬赏制度,其他研究人员若是找到该公司系统的漏洞,很可能因为无法获得报酬而不给通报,甚至将漏洞卖给黑市。
相关推荐: 冬奥会带动全球滑雪运动服装市场增长,滑雪外套和头盔使用率飙升
在北美和欧洲的发达地区,滑雪运动在过去几十年里一直都有大量的群众基础,而随着冬季奥运会的人气越来越高,滑雪运动服装市场的发展只会进一步被推动。 长期以来,像挪威、奥地利、美国、法国、德国、加拿大、瑞典、俄罗斯和意大利这些国家,一直引领着滑雪运动热潮,而日本、中…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
