对五家主流网站托管服务商进行的一次渗透测试
字数 2059 2025-08-18 11:37:57

主流网站托管服务商渗透测试技术分析报告

1. 测试概述

本次渗透测试针对五家主流网站托管服务商:Bluehost、Dreamhost、HostGator、OVH和iPage,发现了多种可导致账号劫持和信息泄露的安全漏洞。

2. Bluehost漏洞分析

2.1 CORS错误配置导致的信息泄露漏洞

严重性: 高危
影响: 攻击者可窃取用户PII信息、部分支付详情及管理系统的认证令牌

技术细节:

  • Bluehost配置了不严谨的正则表达式规则
  • 仅检查请求网站是否包含"bluehost.com"字符串
  • 攻击者可利用类似my.bluehost.com.evil.com的域名绕过
  • API返回用户敏感信息流程:
    1. 通过/api/users获取user_id
    2. 利用user_id查询用户账户和网站内容信息
    3. 获取邮箱、姓名、地址及WordPress等系统的认证token

2.2 CSRF的不当JSON请求验证导致的账号劫持漏洞

严重性: 高危
影响: 可修改任意用户邮箱地址,完全控制账户

利用方法:

  1. 构造特殊HTML表单绕过JSON验证:
<form id="xsrf" action="https://my.bluehost.com/cgi/account_center/api/profile" method="post" enctype="text/plain">
<input name='{"country":"US","phone":"+1.NEWPHONE","street1":"NEW STREET","last_name":"LastName","email":"NEW@EMAIL.com","city":"NEW","postal_code":"0000","province":"WA","first_name":"FirstName' value='","organization":null}' type='hidden'>
  1. 使用Content-Type: text/plain而非application/json
  2. 通过<meta content="no-referrer">绕过Referrer检查

2.3 不当的CORS验证导致的中间人攻击漏洞

严重性: 中危
影响: 可嗅探Bluehost内部用户的明文通信

技术细节:

  • Bluehost授权HTTP请求源读取内容
  • 响应中允许HTTP请求源不加密地读取内容
  • 导致SSL认证机制失效

2.4 XSS漏洞导致的账号劫持漏洞

严重性: 高危
影响: 以客户端用户身份执行命令,控制托管网站内容

PoC:

https://my.bluehost.com/cgi/dm/subdomain/redirect?domainkey="><script>alert(document.domain)</script>

利用条件:

  1. 更改邮箱不需要密码确认
  2. Cookie未设置HttpOnly标记

3. Dreamhost漏洞分析

3.1 XSS漏洞导致的账号劫持漏洞

严重性: 高危
影响: 可更改用户邮箱或密码

PoC:

https://panel.dreamhost.com/tree=domain.manage&current_step=Index&next_step=ShowAddhttp&domain=:lol"><svg/onload=alert()>

利用方法:

  1. 构造AJAX请求获取security_cookie
  2. 使用该cookie提交邮箱更改请求
  3. 将恶意JS托管在第三方网站(如pastebin)
  4. 通过XSS加载外部JS执行攻击

4. HostGator漏洞分析

4.1 全站CSRF防护机制绕过漏洞

严重性: 高危
影响: 可修改任意用户信息

绕过方法:

  1. 将POST参数中的token改为token[]=
  2. 或将token值置空
  3. PHP比较规则导致NULL==0,通过验证

4.2 CORS错误配置导致的信息泄露

严重性: 高危
影响: 可读取API响应中的用户和网站配置信息

绕过方法:

  • 使用.hostgator.com结尾的任意域名
  • http://evil.com/?null=portal.hostgator.com
  • evil.com\@.hostgator.com

4.3 CRLF注入漏洞(仅影响IE/Edge)

严重性: 一般
影响: 可注入新的头消息或执行客户端脚本

5. OVH漏洞分析

5.1 CSRF防护机制绕过漏洞

严重性: 高危
影响: 可修改用户敏感信息

绕过方法:

  1. 设置请求头:
xhr.setRequestHeader('Content-Type','text/plain; application/json');
  1. 利用Gmail的+特性构造邮箱:
{"newEmail":"myemail+2=@gmail.com"}
  1. 通过DNS欺骗构建恶意http://ovh.com网站

6. iPage漏洞分析

6.1 账号劫持漏洞

严重性: 高危
影响: 可远程劫持任意账户

漏洞端点:

https://www1.ipage.com/api/2.0/user/ipg.username/password

特点:

  • 密码更改不需要当前密码验证
  • 无token校验
  • 允许跨域请求

6.2 CSP策略绕过漏洞

严重性: 中危
影响: 可执行点击劫持和脚本注入

问题点:

  1. frame-ancestors允许未加密HTTP页面
  2. 缺少script-srcobject-src指令

7. 防御建议

7.1 针对CORS配置

  • 严格限制Access-Control-Allow-Origin
  • 实现精确的域名匹配而非部分匹配
  • 禁止将用户凭证包含在CORS请求中

7.2 针对CSRF防护

  • 使用同步令牌模式
  • 检查Content-Type头部为application/json
  • 实施严格的Referrer策略
  • 关键操作要求二次验证

7.3 针对XSS防护

  • 设置Cookie的HttpOnlySecure标志
  • 实施严格的CSP策略
  • 对所有用户输入进行过滤和编码

7.4 其他建议

  • 密码更改操作要求当前密码验证
  • 禁用HTTP协议,强制使用HTTPS
  • 实施HSTS策略
  • 定期进行安全审计和渗透测试

8. 厂商响应情况

  • Dreamhost: 已修复CSRF漏洞,增加输入过滤
  • Endurance(Bluehost/iPage/HostGator): 已采取措施修复相关漏洞
  • Bluehost检测并关闭了测试账号

本报告仅供技术研究参考,严禁用于非法用途。所有漏洞均已报送相关厂商并得到修复。

主流网站托管服务商渗透测试技术分析报告 1. 测试概述 本次渗透测试针对五家主流网站托管服务商:Bluehost、Dreamhost、HostGator、OVH和iPage,发现了多种可导致账号劫持和信息泄露的安全漏洞。 2. Bluehost漏洞分析 2.1 CORS错误配置导致的信息泄露漏洞 严重性 : 高危 影响 : 攻击者可窃取用户PII信息、部分支付详情及管理系统的认证令牌 技术细节 : Bluehost配置了不严谨的正则表达式规则 仅检查请求网站是否包含"bluehost.com"字符串 攻击者可利用类似 my.bluehost.com.evil.com 的域名绕过 API返回用户敏感信息流程: 通过 /api/users 获取 user_id 利用 user_id 查询用户账户和网站内容信息 获取邮箱、姓名、地址及WordPress等系统的认证token 2.2 CSRF的不当JSON请求验证导致的账号劫持漏洞 严重性 : 高危 影响 : 可修改任意用户邮箱地址,完全控制账户 利用方法 : 构造特殊HTML表单绕过JSON验证: 使用 Content-Type: text/plain 而非 application/json 通过 <meta content="no-referrer"> 绕过Referrer检查 2.3 不当的CORS验证导致的中间人攻击漏洞 严重性 : 中危 影响 : 可嗅探Bluehost内部用户的明文通信 技术细节 : Bluehost授权HTTP请求源读取内容 响应中允许HTTP请求源不加密地读取内容 导致SSL认证机制失效 2.4 XSS漏洞导致的账号劫持漏洞 严重性 : 高危 影响 : 以客户端用户身份执行命令,控制托管网站内容 PoC : 利用条件 : 更改邮箱不需要密码确认 Cookie未设置HttpOnly标记 3. Dreamhost漏洞分析 3.1 XSS漏洞导致的账号劫持漏洞 严重性 : 高危 影响 : 可更改用户邮箱或密码 PoC : 利用方法 : 构造AJAX请求获取 security_cookie 使用该cookie提交邮箱更改请求 将恶意JS托管在第三方网站(如pastebin) 通过XSS加载外部JS执行攻击 4. HostGator漏洞分析 4.1 全站CSRF防护机制绕过漏洞 严重性 : 高危 影响 : 可修改任意用户信息 绕过方法 : 将POST参数中的token改为 token[]= 或将token值置空 PHP比较规则导致NULL==0,通过验证 4.2 CORS错误配置导致的信息泄露 严重性 : 高危 影响 : 可读取API响应中的用户和网站配置信息 绕过方法 : 使用 .hostgator.com 结尾的任意域名 如 http://evil.com/?null=portal.hostgator.com 或 evil.com\@.hostgator.com 4.3 CRLF注入漏洞(仅影响IE/Edge) 严重性 : 一般 影响 : 可注入新的头消息或执行客户端脚本 5. OVH漏洞分析 5.1 CSRF防护机制绕过漏洞 严重性 : 高危 影响 : 可修改用户敏感信息 绕过方法 : 设置请求头: 利用Gmail的 + 特性构造邮箱: 通过DNS欺骗构建恶意 http://ovh.com 网站 6. iPage漏洞分析 6.1 账号劫持漏洞 严重性 : 高危 影响 : 可远程劫持任意账户 漏洞端点 : 特点 : 密码更改不需要当前密码验证 无token校验 允许跨域请求 6.2 CSP策略绕过漏洞 严重性 : 中危 影响 : 可执行点击劫持和脚本注入 问题点 : frame-ancestors 允许未加密HTTP页面 缺少 script-src 或 object-src 指令 7. 防御建议 7.1 针对CORS配置 严格限制 Access-Control-Allow-Origin 实现精确的域名匹配而非部分匹配 禁止将用户凭证包含在CORS请求中 7.2 针对CSRF防护 使用同步令牌模式 检查 Content-Type 头部为 application/json 实施严格的Referrer策略 关键操作要求二次验证 7.3 针对XSS防护 设置Cookie的 HttpOnly 和 Secure 标志 实施严格的CSP策略 对所有用户输入进行过滤和编码 7.4 其他建议 密码更改操作要求当前密码验证 禁用HTTP协议,强制使用HTTPS 实施HSTS策略 定期进行安全审计和渗透测试 8. 厂商响应情况 Dreamhost: 已修复CSRF漏洞,增加输入过滤 Endurance(Bluehost/iPage/HostGator): 已采取措施修复相关漏洞 Bluehost检测并关闭了测试账号 本报告仅供技术研究参考,严禁用于非法用途。所有漏洞均已报送相关厂商并得到修复。