对于新网域名管理系统安全性的点评

76784170 · 发表于 2006-9-21

众所周知，新网用户在中国域名注册行业所占的比列还是很大的。但是我发现新网域名系统的存在着一个安全隐患。
一天我从代理商域名控制面板登陆到新网那里，偶然发现验证只是一个url就通过了，格式这样：

https://www.paycenter.com.cn/cgi-bin/vpp/DomainLogin?Domain=xxxx&Suffix=.com.cn&

assword=123456

Domain那里的xxxx是域名
Suffix是域名后缀
Password是登陆密码

尽管它使用了https协议(安全超文本连接)，没用普通的http协议，但是就这么一句url就作为验证，这是否安全呢。其后，我发现如果用http协议(普通的超文本协议)依旧可以验证。

http://www.paycenter.com.cn/cgi-bin/vpp/DomainLogin?Domain=xxxx&Suffix=.com.cn&

assword=123456

如果我来破解它呢，新网用这样的url来验证，随便找个http协议的webcrack工具就可以破解成功的。

这只是我对新网这个安全隐患的一点个人点评。安全依旧要做下去，作为新网这个大型idc代理商是否该考虑下如何解决这个隐患呢？

googlewind · 发表于 2006-9-21

不是很懂。

蓝天无水 · 发表于 2006-9-21

暴力破解可是很容易被屏蔽，不过他不把密码加密，的确是太菜了

lrc · 发表于 2006-9-22

呼，前段时间还想代理他来着，主要是中频太贵。好在他给我的价也不低，不然损失就大了。呵呵

不过尔尔 · 发表于 2006-9-22

新网过去一直还可以

priscilla · 发表于 2006-9-22

比较便宜
1

		自动登录	找回密码
密码			注册