官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
美国国家航空航天局(NASA)天体生物学专用网站的一个漏洞,可能通过伪装带有NASA名称的危险URL来诱骗用户访问恶意网站。
太空旅行无疑是危险的。然而,在访问NASA网站的时候也有可能如此。Cybernews研究团队发现了一个NASA天体生物学网站的开放式重定向漏洞。
经过研究人员的调查,早在几个月前(2023年1月14日)已经有研究人员通过漏洞赏金计划发现并报告该漏洞,但该机构没有处理和修复。
攻击者可以利用这个漏洞将任何人重定向到恶意网站,从而获取他们的登录凭证、信用卡号码或其他敏感数据。
自4月初以来,Cybernews研究团队已多次联系美国国家航空航天局,截止到今天尚未收到任何答复。
什么是开放式重定向漏洞?
开放式重定向漏洞简单来说就像是一个假冒的出租车司机。例如你叫了一辆出租车并告诉司机你想去哪里,但是他并没有把你送到目的地,而是把你带到另一个地方。
同样,试图访问 astrobiology.nasa.gov 的用户可能就被重定向进入了一个恶意的网站。通常情况下,网络应用程序会验证用户提供的输入,如URL或参数,以防止恶意重定向的发生。
网络新闻研究人员解释说:攻击者可以利用该漏洞,通过将恶意网址伪装成合法网址,诱使用户访问恶意网站或钓鱼网页。
为什么开放式重定向漏洞是危险的?
攻击者可以用额外的参数修改NASA的网站,将用户引导到他们选择的地方。重新跳转的网站甚至可能类似于NASA的页面,只是在其中加入要求输入信用卡数据的提示。
此外,攻击者可以利用开放的重定向漏洞,引导用户进入网站,在登陆后立即将恶意软件下载到他们的电脑或移动设备上。
另一种利用该漏洞的方式是通过将用户重定向到展示低质量内容或垃圾邮件的网站来控制搜索引擎的排名。
虽然我们没有确认是否有人真正利用了NASA网站的这个漏洞,但是事实上这个漏洞已经暴露了几个月。
如何减轻开放式重定向漏洞的影响?
利用开放式重定向漏洞可以使恶意行为者进行网络钓鱼攻击,窃取凭证并传播恶意软件。
为了避免此类事故,Cybernews研究团队强烈建议网站验证所有用户输入,包括URL。
研究人员解释说:这可能包括使用正则表达式来验证URL的正确格式,检查URL是否来自受信任的域,并验证URL不包含任何额外或恶意的字符。
为了防止恶意字符被注入URLs,网站管理员还可以使用URL编码。同时,网站所有者可以创建一个可信URL的白名单,只允许重定向到这些URL。防止攻击者将用户重定向到恶意的或未经授权的网站。
参考链接:https://cybernews.com/security/nasa-astrobiology-website-flaw/