挖洞经验 | 看我如何在5分钟内搞定荷兰政府网站
2019-12-11 14:00:34 Author: www.freebuf.com(查看原文) 阅读量:152 收藏

一个月之前,我向荷兰国家网络安全中心(NCSC)上报了两个有效安全漏洞,其中一个漏洞原因在于荷兰国家网络安全中心(NCSC)网页中声称的荷兰外交部门或相关人员的某些推特账户(Twitter)根本不存在,因此,攻击者可以在推特上抢注这些账号,形成推特账户劫持(Account Takeover),代表政府发表不当言论或进行其它恶意交流。另一个漏洞为反射型XSS漏洞。

漏洞1 – 推特账户劫持

某天,当我浏览荷兰国家网络安全中心网站(NCSC -https://www.ncsc.nl/)的某个子页面时,在其中发现存在一个链接网页,该网页中包含了大量荷兰政府网站的推特Twitter社交媒体账号,这些账号大多属于荷兰外交部门的大使馆机构或相关外交人员。

但是,我在推特Twitter访问时,却发现这些账号根本不存在,哦….,好低级的错误!于是乎,我就在推特Twitter上注册了其中的一个账户,并起了和NCSC网页中介绍的用户名,好了,那我现在就可以代表荷兰外交机构发声了!之后,我及时通过[email protected]向NCSC上报了这个问题。

5小时之后,NCSC及时给了我回复:

然后,今天,我收到了NCSC送的漏洞奖励纪念品 – 一件印有NCSC LOGO的T-Shirt:

荷兰政府和人民都非常关心网络安全,在此,我感谢荷兰政府在网络安全方面的努力,并相信他们会做得更好。今天,无形的战争发生于网络空间,一些国家都已有了认识并加强了安全防护措施,希望确实如此。

*参考来源:hackking,clouds编译整理,转载请注明来自 FreeBuf.COM


文章来源: https://www.freebuf.com/vuls/220035.html
如有侵权请联系:admin#unsafe.sh