亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

美國(guó)國(guó)家航空航天局（NASA）天體生物學(xué)專用網(wǎng)站存在一個(gè)嚴(yán)重的安全漏洞，可能通過偽裝帶有NASA名稱的危險(xiǎn)URL來誘騙用戶訪問惡意網(wǎng)站。

(資料圖片僅供參考)

太空旅行無疑是危險(xiǎn)的。然而，在訪問NASA網(wǎng)站的時(shí)候也有可能如此。Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)NASA天體生物學(xué)網(wǎng)站的開放式重定向漏洞。

經(jīng)過研究人員的調(diào)查，早在幾個(gè)月前（2023年1月14日）已經(jīng)有研究人員通過漏洞賞金計(jì)劃發(fā)現(xiàn)并報(bào)告該漏洞，但該機(jī)構(gòu)沒有處理和修復(fù)。

攻擊者可以利用這個(gè)漏洞將任何人重定向到惡意網(wǎng)站，從而獲取他們的登錄憑證、信用卡號(hào)碼或其他敏感數(shù)據(jù)。

自4月初以來，Cybernews研究團(tuán)隊(duì)已多次聯(lián)系美國(guó)國(guó)家航空航天局，截止到今天尚未收到任何答復(fù)。

什么是開放式重定向漏洞？

開放式重定向漏洞簡(jiǎn)單來說就像是一個(gè)假冒的出租車司機(jī)。例如你叫了一輛出租車并告訴司機(jī)你想去哪里，但是他并沒有把你送到目的地，而是把你帶到另一個(gè)地方。

同樣，試圖訪問 astrobiology.nasa.gov 的用戶可能就被重定向進(jìn)入了一個(gè)惡意的網(wǎng)站。通常情況下，網(wǎng)絡(luò)應(yīng)用程序會(huì)驗(yàn)證用戶提供的輸入，如URL或參數(shù)，以防止惡意重定向的發(fā)生。

網(wǎng)絡(luò)新聞研究人員解釋說：攻擊者可以利用該漏洞，通過將惡意網(wǎng)址偽裝成合法網(wǎng)址，誘使用戶訪問惡意網(wǎng)站或釣魚網(wǎng)頁(yè)。

為什么開放式重定向漏洞是危險(xiǎn)的？

攻擊者可以用額外的參數(shù)修改NASA的網(wǎng)站，將用戶引導(dǎo)到他們選擇的地方。重新跳轉(zhuǎn)的網(wǎng)站甚至可能類似于NASA的頁(yè)面，只是在其中加入要求輸入信用卡數(shù)據(jù)的提示。

此外，攻擊者可以利用開放的重定向漏洞，引導(dǎo)用戶進(jìn)入網(wǎng)站，在登陸后立即將惡意軟件下載到他們的電腦或移動(dòng)設(shè)備上。

另一種利用該漏洞的方式是通過將用戶重定向到展示低質(zhì)量?jī)?nèi)容或垃圾郵件的網(wǎng)站來控制搜索引擎的排名。

雖然我們沒有確認(rèn)是否有人真正利用了NASA網(wǎng)站的這個(gè)漏洞，但是事實(shí)上這個(gè)漏洞已經(jīng)暴露了幾個(gè)月。

如何減輕開放式重定向漏洞的影響？

利用開放式重定向漏洞可以使惡意行為者進(jìn)行網(wǎng)絡(luò)釣魚攻擊，竊取憑證并傳播惡意軟件。

為了避免此類事故，Cybernews研究團(tuán)隊(duì)強(qiáng)烈建議網(wǎng)站驗(yàn)證所有用戶輸入，包括URL。

研究人員解釋說：這可能包括使用正則表達(dá)式來驗(yàn)證URL的正確格式，檢查URL是否來自受信任的域，并驗(yàn)證URL不包含任何額外或惡意的字符。

為了防止惡意字符被注入U(xiǎn)RLs，網(wǎng)站管理員還可以使用URL編碼。同時(shí)，網(wǎng)站所有者可以創(chuàng)建一個(gè)可信URL的白名單，只允許重定向到這些URL。防止攻擊者將用戶重定向到惡意的或未經(jīng)授權(quán)的網(wǎng)站。

參考鏈接：https://cybernews.com/security/nasa-astrobiology-website-flaw/