至今未修復的NASA 網站漏洞

據悉，Cybernews 研究團隊獨立發現了一個困擾 NASA 天體生物學網站的開放式重定向漏洞。漏洞發現后，研究團隊發現一個開放的漏洞賞金計劃研究人員已經早在 2023年1月14日就已經發現了它，但該機構沒有解決和修復它。

這意味著世界領先的太空研究設施之一，使全球用戶至少在 2023年5月之前的幾個月內面臨風險。攻擊者可能會利用該漏洞將任何人重定向到惡意網站，促使用戶放棄他們的登錄憑據，信用卡號或其他敏感數據。

自4月初以來，Cybernews 研究團隊已多次聯系 NASA，但在發表本文之前尚未收到任何回復。

什么是開放重定向漏洞？

開放重定向缺陷類似于作弊的出租車司機，好比你叫了一輛出租車，并告訴司機你想去哪里。他們沒有驗證目的地，而是帶你去一個令人討厭的地區。類似嘗試訪問 astrobiology.nasa.gov 的用戶很容易就進入了惡意網站。通常，Web 應用程序會驗證或清理用戶提供的輸入，例如 URL 或參數，以防止發生惡意重定向。

Cybernews 研究人員解釋說：“攻擊者可以利用該漏洞，通過將惡意 URL 偽裝成合法 URL 來誘騙用戶訪問惡意網站或釣魚頁面。”

為什么開放重定向漏洞很危險？

攻擊者可以使用附加參數修改 NASA 的網站，并將用戶引導至他們選擇的位置。惡意重定向甚至可能類似于 NASA 的頁面，只是用要求輸入信用卡數據的提示進行修飾。

此外，威脅行為者可以利用開放的重定向錯誤將用戶引導至網站，這些網站在登陸后立即將惡意軟件下載到他們的計算機或移動設備。

另一種利用該漏洞的方法是通過將用戶重定向到展示低質量內容或垃圾郵件的網站來操縱搜索引擎排名。

雖然我們無法確認是否有人真正利用了困擾 NASA 網站的漏洞，但Cybernews團隊以及開放漏洞賞金計劃的研究人員均發現了該漏洞。

由于開放重定向缺陷已經存在了幾個月，可能還有其他人無意中發現了同樣的發現

如何緩解開放重定向漏洞？

開放重定向缺陷至關重要，因為它們允許惡意行為者執行網絡釣魚攻擊、竊取憑據和傳播惡意軟件。

為避免此類事故，Cybernews團隊強烈建議網站所有者驗證所有用戶輸入，包括 URL，以確保輸入僅包含有效值。

“這可能包括使用正則表達式來驗證 URL 的格式是否正確，檢查 URL 是否來自受信任的域，以及驗證 URL 不包含任何意外或惡意字符”研究人員解釋說。