大众点评网域名劫持事件概述

  • 杨赛

2013 年 6 月 19 日

话题:安全DevOps

2013 年 6 月 17 日晚开始,北京地区用户访问大众点评网域名 www.dianping.com 的时候会被跳转到天猫的促销页面。该访问异常状态一直持续到 6 月 18 日凌晨才逐渐恢复。

根据 360 网站安全团队工程师向 InfoQ 提供的线索,本次网站故障是由于大众点评网的域名服务商新网网站程序存在漏洞,导致新网的其他注册用户可以修改任意新网注册域名的 IP 指向。该漏洞在 6 月 12 日被白帽子工程师 Finger提交到漏洞报告平台乌云网站上,并通知了新网;但由于未知原因,新网方面并未受理该漏洞。漏洞提交后的第五天,即故障发生的当天(6 月 17 日),该漏洞由于没有厂商受理而自动进入了公布状态,整个漏洞的细节开始对公众呈现。

该漏洞利用了一个新网管理系统下的 cookie 验证缺乏的 bug,让攻击者获得了更改 dianping.com 域名 A 记录的权限,以及更改该域名在新网的登陆密码等多种权限。

根据大众点评网系统运维工程师向 InfoQ 介绍的情况,攻击者一方面利用漏洞更改了 dianping.com 的 Name Server 记录,另一方面也同时更改了点评的域名账号密码。17 日晚发现问题时,由于联系新网客服未果,点评网工程师一时难以进入系统进行 NS 记录的修复。随即,点评网工程师利用乌云上披露的漏洞细节,采用同样的办法 hack 进入新网的管理后台,恢复了 dianping.com 的 NS 记录,并通过关系找到新网内部高层,将域名临时设置为禁止更新。

6 月 18 日一早,新网组织技术人员对漏洞进行修复,到中午左右完成修复。

就在一个月之前,土豆网也因为类似性质的漏洞而遇到过域名被劫持的故障,该漏洞在 5 月 11 日由白帽子工程师陈再胜报告在乌云网站上

安全DevOps