2013年6月17日晚开始,北京地区用户访问大众点评网域名的时候会被跳转到天猫的促销页面。该访问异常状态一直持续到6月18日凌晨才逐渐恢复。
根据360网站安全团队工程师向InfoQ提供的线索,本次网站故障是由于大众点评网的域名服务商新网网站程序存在漏洞,导致新网的其他注册用户可以修改任意新网注册域名的IP指向。该漏洞在6月12日被白帽子工程师Finger提交到漏洞报告平台乌云网站上,并通知了新网;但由于未知原因,新网方面并未受理该漏洞。漏洞提交后的第五天,即故障发生的当天(6月17日),该漏洞由于没有厂商受理而自动进入了公布状态,整个漏洞的细节开始对公众呈现。
该漏洞利用了一个新网管理系统下的cookie验证缺乏的bug,让攻击者获得了更改dianping.com域名A记录的权限,以及更改该域名在新网的登陆密码等多种权限。
根据大众点评网系统运维工程师向InfoQ介绍的情况,攻击者一方面利用漏洞更改了dianping.com的Name
Server记录,另一方面也同时更改了点评的域名账号密码。17日晚发现问题时,由于联系新网客服未果,点评网工程师一时难以进入系统进行NS记录的修复。随即,点评网工程师利用乌云上披露的漏洞细节,采用同样的办法hack进入新网的管理后台,恢复了dianping.com的NS记录,并通过关系找到新网内部高层,将域名临时设置为禁止更新。
6月18日一早,新网组织技术人员对漏洞进行修复,到中午左右完成修复。
就在一个月之前,土豆网也因为类似性质的漏洞而遇到过域名被劫持的故障,该漏洞在5月11日由白帽子工程师陈再胜报告在乌云网站上。