日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

微軟和北卡羅來納州立大學(xué)去年合作開展了一個學(xué)術(shù)研究項目，研究人員通過分析上傳到 Node Package Manager (npm) 的大約 163 萬個庫的元數(shù)據(jù)，發(fā)現(xiàn)數(shù)千名 JavaScript 開發(fā)者正在使用域名過期的郵箱作為其 npm 帳戶，從而導(dǎo)致他們托管在 npm 的項目會輕易被劫持。

據(jù)稱，npm 上所有用戶的郵件地址都是公開的。通過請求個人資料頁面即可返回郵件地址：

npm 是最大的 JavaScript 軟件包倉庫。研究人員發(fā)現(xiàn) 2818 名項目維護者的帳戶仍在使用域名過期的郵箱地址，而部分過期的域名正在 GoDaddy 等網(wǎng)站上出售。因此研究人員認(rèn)為，攻擊者可通過購買已過期的域名，然后在郵件服務(wù)器上重新注冊這些維護者的地址，從而實現(xiàn)重置維護者的帳戶密碼并接管 npm 軟件包。

下面的圖片展示了一名開發(fā)者嘗試接管ajv-formats軟件包(維護者是additiveamateur)并成功“劫持”的過程：

0. 首先是獲取帳戶的注冊郵件地址：carlo[@]machina.bio

1. 購買已過期的域名：machina.bio

2. 通過域名接管了帳戶的郵件地址后，嘗試重置密碼：

此步驟遭遇了一些問題，但開發(fā)者通過聯(lián)系技術(shù)支持得到解決：

最后成功重置了ajv-formats軟件包維護者的帳戶密碼：

登錄并成功接管項目：

研究人員表示，他們在研究報告發(fā)布前將其研究結(jié)果發(fā)送給了 npm 安全團隊，雖然對方?jīng)]有反饋，但在研究報告正式發(fā)布前，npm 宣布了逐步為開發(fā)者帳戶強制執(zhí)行 2FA(雙因素認(rèn)證)的計劃。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：因使用域名過期郵箱，數(shù)千 npm 帳號面臨被輕易劫持風(fēng)險

本文地址：https://www.oschina.net/news/182636/npm-accounts-use-email-addresses-with-expired-domains

分享名稱：因使用域名過期郵箱，數(shù)千npm帳號面臨被輕易劫持風(fēng)險
網(wǎng)站路徑：http://www.dlmjj.cn/article/cdgceje.html