黑客发现 MangaDex 网站存在安全漏洞,导致网站下线

Andrew 2021-03-24
专栏 - 资讯 发布于 2021-03-24 10:22:42 阅读 146 评论 0

一名网络攻击者嘲讽该网站存在公开的安全漏洞,并提示对代码进行审查。

漫画在线资料库MangaDex将关闭,直到黑客事件发生后另行通知。

上周,该站点报告说,一名网络攻击者“通过重复使用旧数据库漏洞中发现的会话令牌,通过错误的会话管理配置”获得了对管理帐户的访问权限。

在通过清除全球所有会话来补救问题之后,该网站的构建者查看了运行MangaDex的代码,试图修补在运行过程中遇到的任何漏洞。但是,在进行代码审查的同时,相同的对手随后又可以访问MangaDex的一个开发人员帐户,从而窃取了该网站的版本3源代码。根据MangaDex的说法,攻击者的动机可能是对网站造成“最大程度的破坏”。

该网站宣布:“尽管攻击者获得了通常在普通用户上下文中不可见的信息的访问权限,但我们仍无法确认主机受到了完全破坏或最新的数据库违规行为,”该网站宣布。“作为用户,我们鼓励您假设自己的数据已被泄露,并立即采取预防措施,例如更改任何可能与MangaDex帐户共享相同密码的帐户的密码。作为一种良好的安全惯例,强烈建议您使用密码管理器来确保您的在线身份安全。”

多个站点漏洞

攻击者还利用代码库中的安全漏洞来嘲讽站点的运营商,这是MangaDex下线的主要原因。

根据周日发布的网站通知,“攻击者已经更新了包含源代码泄漏的git存储库,声称我们已成功修补了三个可能的CVE中的两个。” “没有任何方法可以确认索赔,我们假设是最坏的情况,并让该站点继续进行进一步调查。”

由志愿者运行的MangaDex计划花一些时间来完成基于源代码第五版的站点重写。据估计,这可能需要长达三周的时间。

MangaDex计划在第5版的基本功能准备就绪后上线,以加快返回速度:即,允许读者阅读和关注漫画标题,并允许小组上载漫画的“扫描图”。

“我们没有保留可能存在漏洞的网站,并浪费了我们的时间和精力,不断遭受从[分布式拒绝服务] DDoS到黑客的不断攻击,我们决定借此机会重新调整重点并加快计划中的改写工作。该网站”,根据通知。“但是,与我们最初的计划相反,我们将在准备好最低限度的基本功能后立即启动此v.5。”

同时,该网站邀请了道德黑客来帮助他们在代码库中找到攻击者声称的安全漏洞以及任何其他漏洞。

潜在的漏洞赏金计划

虽然MangaDex目前依靠志愿者来发现和纠正安全漏洞-该网站称这些助手已经发现了“大量”的漏洞-一项更正式的计划可能正在酝酿中。

通知称:“我们仍然对泄漏的v.3源代码中发现的漏洞的任何建议或负责任的披露持开放态度。” “尽管我们在撰写本文时发现了许多内容,并且已对其中的大部分进行了修补,但我们感谢您为帮助我们找到更多内容所做的所有尝试。”

此外,它说,一旦新站点上线,它可能会为发现物实施赏金。

“我们真诚地打算改善现有和未来基础架构的安全性,尽管我们的一些开发人员在安全领域有丰富的经验,但我们决定拥有某种形式的针对v.5的漏洞悬赏计划只会证明是对通知有利。” 作为支持,我们打算根据所报告错误的严重性考虑支付。更多细节将在不久的将来发布。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!