NASA網站曝嚴重漏洞，或將淪為黑客釣魚網站？

美國國家航空航天局（NASA）天體生物學專用網站存在一個嚴重的安全漏洞，可能通過偽裝帶有NASA名稱的危險URL來誘騙用戶訪問惡意網站。

太空旅行無疑是危險的。然而，在訪問NASA網站的時候也有可能如此。Cybernews研究團隊發現了一個NASA天體生物學網站的開放式重定向漏洞。

經過研究人員的調查，早在幾個月前（2023年1月14日）已經有研究人員通過漏洞賞金計劃發現并報告該漏洞，但該機構沒有處理和修復。

攻擊者可以利用這個漏洞將任何人重定向到惡意網站，從而獲取他們的登錄憑證、信用卡號碼或其他敏感數據。

自4月初以來，Cybernews研究團隊已多次聯系美國國家航空航天局，截止到今天尚未收到任何答復。

什么是開放式重定向漏洞

開放式重定向漏洞簡單來說就像是一個假冒的出租車司機。例如你叫了一輛出租車并告訴司機你想去哪里，但是他并沒有把你送到目的地，而是把你帶到另一個地方。

同樣，試圖訪問 astrobiology.nasa.gov 的用戶可能就被重定向進入了一個惡意的網站。通常情況下，網絡應用程序會驗證用戶提供的輸入，如URL或參數，以防止惡意重定向的發生。

網絡新聞研究人員解釋說：攻擊者可以利用該漏洞，通過將惡意網址偽裝成合法網址，誘使用戶訪問惡意網站或釣魚網頁。

為什么開放式重定向漏洞是危險的？

攻擊者可以用額外的參數修改NASA的網站，將用戶引導到他們選擇的地方。重新跳轉的網站甚至可能類似于NASA的頁面，只是在其中加入要求輸入信用卡數據的提示。

此外，攻擊者可以利用開放的重定向漏洞，引導用戶進入網站，在登陸后立即將惡意軟件下載到他們的電腦或移動設備上。

另一種利用該漏洞的方式是通過將用戶重定向到展示低質量內容或垃圾郵件的網站來控制搜索引擎的排名。

雖然我們沒有確認是否有人真正利用了NASA網站的這個漏洞，但是事實上這個漏洞已經暴露了幾個月。

如何減輕開放式重定向漏洞影響？

利用開放式重定向漏洞可以使惡意行為者進行網絡釣魚攻擊，竊取憑證并傳播惡意軟件。

為了避免此類事故，Cybernews研究團隊強烈建議網站驗證所有用戶輸入，包括URL。

研究人員解釋說：這可能包括使用正則表達式來驗證URL的正確格式，檢查URL是否來自受信任的域，并驗證URL不包含任何額外或惡意的字符。

為了防止惡意字符被注入URLs，網站管理員還可以使用URL編碼。同時，網站所有者可以創建一個可信URL的白名單，只允許重定向到這些URL。防止攻擊者將用戶重定向到惡意的或未經授權的網站。