X1运营交流
支付宝设置后支付宝官方报X1系统有中危漏洞?
  • 郁国安,泓,也又 消费1094.03元 2020-07-28 19:25 19:25
1554
1

X1系统设置支付宝参数后,支付宝官方回复邮件说我们的X1系统有中危漏洞?

请官方帮助处理一下。


邮件如下:

【中危漏洞】任意邮件伪造检测【编号:9626639】
任务信息

背景
网络安全漏洞会直接影响企业的业务开展,甚至导致声誉受损。用户数据泄露更是影响用户生活的方方面面。《网络安全法》的指引下,保护网络安全,是企业的义务和责任。基于贵司签约蚂蚁金服开放平台时的授权,我们对您的回调地址及合作网站进行检测,提前发现安全问题,避免您的系统遭受黑客攻击。


漏洞类型
任意邮件伪造检测


漏洞危害
该漏洞可导致黑客伪装为管理员或用户获取系统的信任,严重可导致服务器被黑客控制。


修复截止时间

2020-07-11 16:36:11,请及时修复漏洞。


漏洞说明

WEB应用程序因对服务/用户等的标识不能唯一的,阶段随机的实现,导致恶意用户可构造其他用户或服务的标识用来获取信息或执行操作;


漏洞详情

args:(u'#\x10\x01 \x00\x01\x00\x00\x00\x00\x00\x00\x04chpx\x03net\x00\x00\x10\x00\x01', ('114.114.114.114', 53))
method:sendto
ip_port:[]
kwargs:{}
send:(u'#\x10\x01 \x00\x01\x00\x00\x00\x00\x00\x00\x04chpx\x03net\x00\x00\x10\x00\x01', ('114.114.114.114', 53))
target:"chpx.net"
Detail:chpx.net 存在任意邮件伪造


修复建议

为了防止邮箱伪造,出现了SPF。 SPF(或是Sender ID)是Sender Policy Framework的缩写。 当定义了域名的SPF记录后,接收邮件方会根据你的SPF记录来判断连接过来的IP地址是否被包含在SPF记录里面,如果在,则认为是一封正确的邮件,否则则认为是一封伪造的邮件。现在绝大部份反垃圾邮件系统都支持SPF过滤,这种过滤一般不会有误判,除非是邮件系统管理员自己把SPF记录配置错误或遗漏。 增加SPF记录非常简单,在DNS里面添加TXT记录即可。 以下网站可以对SPF的设置有帮助:http://www.bugscan.net/combbs/topics/433/template/

安全检测服务由安全公司“西安四叶草”提供,如您在漏洞修复过程中需要技术支持,请联系安全公司专业客服。
(咨询客服时,请提供此任务的编号:taskId=408d2bcabde5485284b5b1732eb63cee)
阿里旺旺:https://aliwork.alicdn.com/tps/i1/TB1MkIRFVXXXXatXXXXz843ZpXX-316-260.png";) -191px -71px no-repeat; width: 16px; height: 16px;">四叶草安全感洞
钉钉:bugfeel
邮箱:bugfeel@seclover.com
(服务响应时间:工作日10:00— — 18:00)



9
赏礼
赏钱
收藏
点击回复
      全部留言
  • 1
  • admin 超级管理员 消费:3.03元 2020-07-28 20:06 20:06
    其他手机
    6楼
    误报可忽略
0 赏钱 赏礼回复
更多回复
恢复多功能编辑器
  • 3 1
  • X1运营交流
        圈内贴子51608
    • 圈子成员1010
    本圈子内的新贴

    推荐内容
    扫一扫访问手机版
    请选择要切换的马甲:

     
    网页即时交流
    QQ咨询
    咨询热线
    020-28998648