CloudFlare 代码缺陷,导致大量网站私密信息泄露

最新推荐文章于 2024-08-07 16:27:57 发布
最新推荐文章于 2024-08-07 16:27:57 发布
阅读量546 收藏
点赞数

(点击上方蓝字,快速关注我们)

转自:cnBeta

www.cnbeta.com/articles/tech/587662.htm

据外媒 TheVerge 报道,知名网络优化服务(CDN)提供商 CloudFlare 最近遭遇了一起严重的泄露事件,包括 cookies、API 键值、以及密码等在内的许多敏感个人信息被曝光。

另据昨晚一篇博文的详细披露,该公司为数百上千万个互联网站点提供 SSL 加密。虽然 CloudFlare 当前暂未证实这批信息被恶意利用,但搜索引擎上的部分缓存又是另一个问题。

0?wx_fmt=png

2 月 18 号的时候,在谷歌 Project Zero 安全小组工作的 Travis Ormandy 最先在 Twitter 上爆料了此事。但实际上,这个缺陷或许可以追溯至去年 9 月 22 号。

CloudFlare 表示,规模最大的一次信息泄露始于 2 月 13 日,当时发生的代码异动表明每秒 3,300,300 次的 HTTP 请求可能导致了内存溢出。

0?wx_fmt=jpeg

在被缓存的数据中,Ormandy 看到了某约会站点上的预订酒店和密码等完整信息。他在 2 月 19 号写到:

我不知道 CloudFlare 背后究竟有多少互联网站点,直到发生了这件事。这包括完整的 https 请求、客户端 IP 地址、完整的响应、cookies、密码、键值、日期等一切内容。

在 Ormandy 发布了推文之后,CloudFlare 工程师禁用了导致出现问题的三项功能代码,并与搜索引擎方携手清理缓存信息。

【伯乐在线/技术最前线补充】:受影响的站点非常之多,光知名网站就有下面这些:

  • authy.com

  • coinbase.com

  • bitcoin.de

  • betterment.com

  • transferwise.com

  • prosper.com

  • patreon.com

  • bitpay.com

  • news.ycombinator.com

  • producthunt.com

  • medium.com

  • 4chan.org

  • yelp.com

  • okcupid.com

  • uber.com

  • poloniex.com

  • localbitcoins.com

  • kraken.com

  • 23andme.com

  • counsyl.com

  • tfl.gov.uk

  • account.leagueoflegends.com

  • myaccount.nytimes.com

  • technicpack.net

  • cloudflare.com

其他网站,更是数不胜数。已经有网友在 GitHub 汇总了列表:

https://github.com/pirate/sites-using-cloudflare/blob/master/README.md

泄露事件发生后,CloudFlare 联系搜索引擎厂商清除缓存信息,不过还有网友在 HN 上反馈 Bing 和 Yahoo 中仍有敏感信息的缓存。

觉得这条资讯有帮助?请转发给更多人

关注 技术最前线 看 IT 要闻

640?wx_fmt=png

redditnote
关注
说用了 CloudFlare 访问慢了的,一定是没有做好这几点!
草根博客站长明月登楼的优快云博客
05-06 4721
基本上述这四个地方照明月说的做,用了 CloudFlare 你的站点都不会慢的,除非你所在地区封禁了 CloudFlare 所有的节点 IP(稍微懂点儿技术原理都知道这是不可能的),记住变更 NS 方式接入 CloudFlare 的国内站点是没法绕开 24-72 小时解析生效这个槛儿的,所以耐心等待解析生效就是了,客户反映慢了可以尝试让客户清理一下本地电脑的 DNS 缓存解决即可。期间不要再去变更 NS 了,否则又是一次 24-72 小时解析生效时间,明月的经验是国内大部分地区最多 24 小时就都生效了,但
【网络安全】SSL(二):Keyless SSL技术细节
等风来
11-17 4033
如果新的请求携带的会话 ID 是之前见过的,我们会在可以从任何数据中心的所有服务器访问的中央存储中查找它。在最糟糕的情况下,例如如果你从一个城市的手机访问网站,然后飞到另一个城市,你的客户端只需要重新建立一个新会话。Keyless SSL 是一次重大的进步,它允许网站所有者使用 CloudFlare 这样的服务加速和保护他们的网站,同时保留对私钥的控制。为了确保 Keyless SSL 的安全性,从 CloudFlare 边缘到密钥服务器的连接也需要是安全的。为了恢复连接,服务器需要有之前建立的会话密钥。
一篇文章带你看懂Cloudflare信息泄露事件
weixin_34185512的博客
03-01 388
2019独角兽企业重金招聘Python工程师标准>>> ...
代码缺陷导致 CloudFlare 泄露大量客户站点的密码等私密信息
weixin_34032792的博客
06-02 205
据外媒报道,知名网络优化服务(CDN)提供商 CloudFlare 最近遭遇了一起严重的泄露事件,包括 cookies、API 键值、以及密码等在内的许多敏感个人信息被曝光。另据昨晚一篇博文的详细披露,该公司为数百上千万个互联网站点提供 SSL 加密。虽然 CloudFlare 当前暂未证实这批信息被恶意利用,但搜索引擎上的部分缓存又是另一个问题。 ...
“云出血”漏洞凶猛!CloudFlare泄露海量用户信息
weixin_34354945的博客
09-25 775
本文讲的是“云出血”漏洞凶猛!CloudFlare泄露海量用户信息,OpenSSL的“心脏出血”让人心有余悸,如今著名的网络服务商CloudFlare又曝出“云出血”漏洞,导致用户信息在互联网上泄露长达数月时间。不过幸运的是,中国用户并未受到此次事故的影响。 CloudFlare总部位于美国旧金山,是一家成长迅速的网络性能和安全公司,专门为网站提供D...
cloudflare_CloudFlare泄漏的消息揭晓,密码管理变得轻松
cumj63710的博客
06-24 236
cloudflare 在过去的24小时内,有消息爆出,自9月以来,严重的Cloudflare错误已导致敏感数据泄漏,使成千上万个网站的 550万用户暴露在外。 除了Google和其他搜索引擎缓存的登录数据外,某些iOS应用程序也可能受到了影响。 鉴于这种泄漏的规模,最好的措施是为您拥有帐户的每个站点更新每个密码。 如果有足够的时间来现代化您的密码操作,就是这样。 作为互联网的消费者和居民,我...
TLS协议分析------
zhangliang_571的专栏
06-07 1万+
TLS协议分析 2015-09-06 本文目标: 学习鉴赏TLS协议的设计,透彻理解原理和重点细节 跟进一下密码学应用领域的历史和进展 整理现代加密通信协议设计的一般思路 本文有门槛,读者需要对现代密码学有清晰而系统的理解,建议花精力补足背景知识再读。本文最后的参考文献里有一些很不错的学习资料。 目录 : 1 2 3 4 5 6 7
cloudflare worker.js应用程序脚本代码
ni110110的博客
02-28 2607
如果您发现这个项目很好用,请查看我们的 GitHub 项目给我一个star:</b>\n`);// ["version", "附加信息长度 N"]
Sucuri vs CloudFlare(优点和缺点)–哪一个更好?
09-09 930
Due to an increased emphasis on website security in today’s digital landscape, one of the most common requests we’ve gotten from readers is to do a pros and cons analysis of Sucuri vs CloudFlare to ex...
cloudflare_几个月来,Cloudflare一直在从数千个主要网站泄漏HTTPS数据
cumian8165的博客
07-11 351
cloudflareHere are three links worth your time: 这是三个值得您花费时间的链接: Cloudflare has been leaking HTTPS data from thousands of major websites for months. freeCodeCamp uses CloudFlare, but not the products ...
开源项目-cloudflare-cloudflared.zip
09-06
开源项目-cloudflare-cloudflared.zip,Cloudflare's new DNS over HTTPS daemon is written in Go
cloudflare-application:我的2020 Cloudflare全栈应用程序应用程序
02-20
Cloudflare工人实习应用程序:全栈 它是什么? 一种将用户随机发送到两个网页之一的应用程序。 基于内部常量URL https://cfw-takehome.developers.workers.dev/api/variants 可以在此处找到实时演示: : 怎么运行的 当客户向Workers脚本发出请求时,该脚本将大约在50%的时间内大致返回每个变体。 额外信用 1.更改副本/ URL title :已更改为“您的变体!” h1#title :在标题中的数字之前添加了“#” p#description : p#description的数字之前添加了“数字” a#url :将网址路由到我的LinkedIn并更改了文本 所有这些都是通过使用HTMLRewriter的抽象函数完成的 2.持久的变体 如果用户访问该站点并收到两个URL之一,则保留在cookie中选择哪个UR
Cloudflare支持JavaScript格式BinaryAST缩短网页应用程序代码解析
小磨SBF111直播馆
05-21 427
Cloudflare在其云端无服务器Cloudflare Workers上支持最新的JavaScript格式BinaryAST,以大幅缩短网页应用程序代码解析的时间。BinaryAST目前仍未为完全稳定,几个月前的Firefox Nightly版本加入支持,而现在Cloudflare则在Worker中的JavaScript引擎支持BinaryAST。由于现在网页应用程序功能越来越丰富,也就需要靠更...
如何应对服务器因暴露源 IP 而遭受的 CC 攻击
@云安全小杜
08-07 705
CC 攻击是一种常见的 DDoS 攻击类型,攻击者通过大量恶意请求来消耗服务器资源,导致合法用户无法访问服务。当服务器的真实 IP 地址暴露后,更容易成为此类攻击的目标。本文将介绍几种有效的防御策略,并提供一些实用的代码示例。
静态污染,如芒在背——解决cloudflare污染
终不似少年
06-16 3689
解决cloudflare DNS污染
CloudFlare防护下的破绽:寻找真实IP的几条途径
热门推荐
陈建慧程序人生
01-20 2万+
看Twitter发现CloudFlare总裁什么的最近很高调,北京、香港的跑着参加会议、发表演说什么的,CloudFlare似乎也没那么牛逼吧。前段就关注过比较火热的CloudFlare如何抵御住大流量的攻击。政治跟咱没毛线关系,但你说你那么牛,这就有点不太合适了吧。 目前大部分的网站都基于虚拟化部署,说的高大上一点就是云技术和CDN技术。在闲暇之余也关注过这个事情,毕竟是比较先进的技术,以前传
域名被墙检测网站_欲80万出售的爱赚网域名dns被污染了
weixin_30378963的博客
01-07 796
前几天爱赚网的站长在站长群里比较活跃,原因是他的爱赚网遭到了攻击,在群里交流防护方法,几经折腾,最后选择了免费的cloudflare防护,防是防住了,但似乎今天又出现了更坏的迹象,他的域名dns被污染了。下面是通过某检测网站查询到的结果:从查询到的结果来看,他的域名被解析到了几个不同的ip地址,解析结果中除了他本身使用的服务器ip地址外,还有境外的脸书及推特,这些ip地址在国内都是禁止访...
网络安全web 信息泄露小概
qq_42812036的博客
03-10 1337
本文包含web安全以及ctf中出现过的三类信息泄露,讲述使用python脚本进行clone时要注意的点,和readme.md里没出现但可以有的一些进阶一点的操作。 一、svn源码泄露 当开发人员使用 SVN 进行版本控制,对站点自动部署。如果配置不当,可能会将.svn文件夹直接部署到线上环境。这就引起了 SVN 泄露漏洞。 版本控制工具:dvcs-ripper https://git...
课程设计-jsp1374合同管理系统sqlserver-qkrp.zip
最新发布
06-21
课程设计 源代码 数据库 配套文档 答辩教程
cloudflare搭建网站
01-13
### 使用Cloudflare搭建网站 要利用Cloudflare来设置一个网站,需先注册并登录到Cloudflare账户。之后,在仪表板上点击创建站点按钮输入域名完成DNS托管转移工作[^1]。 对于已有的服务器和主机服务,确保将域名系统的名称服务器更新至由Cloudflare提供的一组特定NS记录,这一步骤通常是在购买域名的服务商处执行操作[^2]。 配置SSL/TLS加密选项可以增强访问者连接的安全性。通过进入对应的面板部分开启Always Use HTTPS功能强制重定向HTTP请求到更安全的HTTPS协议下传输数据[^3]。 页面规则允许自定义针对不同URL路径的行为模式,比如缓存管理策略或是优化图片加载过程等细节设定;而Workers脚本则提供了无服务器架构下的编程能力扩展可能性[^4]。 ```javascript // 示例:简单的Cloudflare Worker代码片段用于响应请求返回JSON对象 addEventListener('fetch', event => { let response = new Response( JSON.stringify({ message: 'Hello from Cloudflare Workers!' }), { status: 200, headers: { 'Content-Type': 'application/json' } } ); event.respondWith(response); }); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值