至今未修复的NASA 网站漏洞
发布时间:2023-06-08 13:26:08 所属栏目:外闻 来源:
导读:据悉,Cybernews 研究团队独立发现了一个困扰 NASA 天体生物学网站的开放式重定向漏洞。漏洞发现后,研究团队发现一个开放的漏洞赏金计划,研究人员已经早在2023年1月14日就已经发现了它,但该机构没有解决和修复它。
|
据悉,Cybernews 研究团队独立发现了一个困扰 NASA 天体生物学网站的开放式重定向漏洞。漏洞发现后,研究团队发现一个开放的漏洞赏金计划,研究人员已经早在2023年1月14日就已经发现了它,但该机构没有解决和修复它。 攻击者可能会运用该漏洞将任何人重定向到非法网站,促使用户离开他们的登录凭据,银行卡号或其他敏感数据。 开放重定向缺陷类似于作弊的出租车司机,好比你叫了一辆出租车,并告诉司机你想去哪里。他们没有选择目的地,而是带你去一个令人讨厌的地区。类似尝试访问 astrobiology.nasa.gov 的用户很容易就进入了恶意网站。通常,Web 应用程序会验证或清理用户提供的输入,例如 URL 或参数,以防止发生恶意重定向。 Cybernews 研究人员解释说:“攻击者可以利用该漏洞,通过将恶意 URL 伪装成合法 URL 来诱骗用户访问恶意网站或钓鱼页面。” 攻击者可以使用附加参数修改 NASA 的网站,并将用户引导至他们选择的位置。恶意重定向甚至和 NASA相似,仅仅是附上一个警告要求输入银行卡资料的痕迹。 此外,威胁行为者可以利用开放的重定向错误将用户引导至网站,这些网站在登陆后立即将恶意软件下载到他们的计算机或移动设备。 另一种利用该漏洞的方法是通过将用户重定向到展示低质量内容或垃圾邮件的网站来操纵搜索引擎排名。 虽然我们无法确认是否有人真正利用了困扰 NASA 网站的漏洞,但Cybernews团队以及开放漏洞赏金计划的研究人员均发现了该漏洞。 开放重定向缺陷至关重要,因为它们允许恶意行为者执行网络钓鱼攻击、窃取凭据和传播恶意软件。 为避免此类事故,Cybernews团队强烈建议网站所有者验证所有用户输入,包括 URL,以确保输入仅包含有效值。 “这可能包括使用正则表达式来验证 URL 的格式是否正确,检查 URL 是否来自受信任的域,以及验证 URL 不包含任何意外或恶意字符”研究人员解释说。 (编辑:汽车网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
推荐文章
站长推荐
