Cooperate with us < I >

Focusing on product research and development in the field of information security, we are committed to providing professional information security products, solutions, technical advisory services for government, military and other secret-related units, as well as other enterprises and institutions.

Do you want to talk to us about the field of information security and file encryption?

You can fill in the form on the right to let us know your project requirements and we will contact you as soon as possible. Of course, you are also welcome to call us at 400.

You can also contact us through the following channels:

Address: 7th Floor, Zone B, Innovation Building, Phase I Pearl Bay Software Park, Siming District, Xiamen

Tel: 400-666-0170/0592-2565820

Official website: www.tipray.com

Customer service: sales@tipray.com

Market cooperation: market@tipray.com

Quickly submit your requirements ↓

美电信巨头Frontier曝密码重置漏洞 只需用户名就能登陆任意账户

Release time:2018-06-11 source: Browse times:2400

Frontier Communications(以下简称“Frontier”)是美国的一家语音、视频和互联网服务提供商,也是美国最大的互联网提供商之一。除了提供本地和长途电话服务,Frontier在美国也提供宽带网络服务、数字电视服务,以及计算机技术支持服务。

在上周,Frontier刚刚与诺基亚达成了“万兆对称无源光网络(XGS-PON)”技术的使用合作。作为下一代光纤到户(Fiber ToThe Home,FTTH)技术,它实现了高达10Gbps的对称宽带速度,使得Frontier 能够借助这项技术向客户提供万兆接入服务。

根据外媒ZDNet的报道,这个由安全研究员Ryan Stevenson发现的密码重置漏洞允许攻击者绕过密码重置过程中发送的访问代码,使得攻击者仅需要一个用户名或者电子邮箱地址就能够登陆并接管其他人的账户.

Stevenson解释说,他发现访问代码字段并不受限制,允许他输入尽可能多的代码。通过在他创建的一个测试账户上使用网络拦截工具能够实现流程自动化,这样他就完全能够重现访问代码。

在向Frontier平台披露了漏洞后,这家电信巨头的发现人告诉ZDNet,调查正在进行中。这位发言人说:“出于非常谨慎的考虑,在调查此事的同时,Frontier平台已经关闭了通过网络修改用户密码的功能。”

Stevenson通过一段视频演示了漏洞的利用过程,他在测试中使用的网络拦截工具被称为Burp Suite,是一个被广泛用于攻击Web应用程序的集成平台,包含了许多工具。

正如他所描述的那样,自动化流程能够将数百个六位数访问代码一个接一个地发送到浏览器,直到发现正确的代码为止。正确代码会返回比错误代码更大的服务器响应,而这个代码便可以用来重置账户密码。

根据视频演示来看,由Stevenson创建的自动化流程能够在10秒内生成大约100个代码,如果要把每一个代码组合都运行一遍,大约需要花费一天的时间。不过,Stevenson认为,如果拥有更快的连接速度,那么这个时间将会被大大缩短。

Recommended news

U盘加密是如何保证文件信息安全的?

2018-08-09

现在大多数的人都会选择用文档或者电子设备来进行工作,以及会对一些文件资料进行整理,U盘加密的处理方式无疑成为人们的...

“情牵临夏,共沐书香”天锐股份党支部传递坚毅的奉献精神!

2018-03-06

为积极响应国家深入实施西部大开发战略和开发式扶贫的号召,进一步贯彻落实精准扶贫工作,帮助厦门对口帮扶的临夏州完善教...

前员工告发华为要求窃取商业机密 被开除索赔1亿美元?

2018-07-16

时事新闻:前员工告发华为要求窃取商业机密被开除索赔1亿美元 对于商业机密的保护,...

天锐股份携手南方科技大学 有“备”无患

2017-03-20

高等院校作为我国高层次人才培养、科学研究的重要基地,承担了大量涉密科研任务。但由于高校具有学术氛围宽松、人员流动性...

高校应防范数据安全,避免学生信息泄漏遭不法企业利用!

2018-09-13

几乎每个人都有接到卖房、贷款、保险等推销的电话,每每看到这样的陌生号码,总是会不自觉地产生条件反射的抵触,因为出现...

Copyright ©2006-2019 厦门天锐科技股份有限公司

在线
客服

客服
热线

400-666-0170
0592-2565820
7*24小时客户服务热线
点击上方电话,免费通话

Back to top