亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

美國(guó)國(guó)家航空航天局（NASA）天體生物學(xué)專(zhuān)用網(wǎng)站存在一個(gè)嚴(yán)重的安全漏洞，可能通過(guò)偽裝帶有NASA名稱(chēng)的危險(xiǎn)URL來(lái)誘騙用戶(hù)訪(fǎng)問(wèn)惡意網(wǎng)站。

(資料圖片僅供參考)

太空旅行無(wú)疑是危險(xiǎn)的。然而，在訪(fǎng)問(wèn)NASA網(wǎng)站的時(shí)候也有可能如此。Cybernews研究團(tuán)隊(duì)發(fā)現(xiàn)了一個(gè)NASA天體生物學(xué)網(wǎng)站的開(kāi)放式重定向漏洞。

經(jīng)過(guò)研究人員的調(diào)查，早在幾個(gè)月前（2023年1月14日）已經(jīng)有研究人員通過(guò)漏洞賞金計(jì)劃發(fā)現(xiàn)并報(bào)告該漏洞，但該機(jī)構(gòu)沒(méi)有處理和修復(fù)。

攻擊者可以利用這個(gè)漏洞將任何人重定向到惡意網(wǎng)站，從而獲取他們的登錄憑證、信用卡號(hào)碼或其他敏感數(shù)據(jù)。

自4月初以來(lái)，Cybernews研究團(tuán)隊(duì)已多次聯(lián)系美國(guó)國(guó)家航空航天局，截止到今天尚未收到任何答復(fù)。

什么是開(kāi)放式重定向漏洞？

開(kāi)放式重定向漏洞簡(jiǎn)單來(lái)說(shuō)就像是一個(gè)假冒的出租車(chē)司機(jī)。例如你叫了一輛出租車(chē)并告訴司機(jī)你想去哪里，但是他并沒(méi)有把你送到目的地，而是把你帶到另一個(gè)地方。

同樣，試圖訪(fǎng)問(wèn) astrobiology.nasa.gov 的用戶(hù)可能就被重定向進(jìn)入了一個(gè)惡意的網(wǎng)站。通常情況下，網(wǎng)絡(luò)應(yīng)用程序會(huì)驗(yàn)證用戶(hù)提供的輸入，如URL或參數(shù)，以防止惡意重定向的發(fā)生。

網(wǎng)絡(luò)新聞研究人員解釋說(shuō)：攻擊者可以利用該漏洞，通過(guò)將惡意網(wǎng)址偽裝成合法網(wǎng)址，誘使用戶(hù)訪(fǎng)問(wèn)惡意網(wǎng)站或釣魚(yú)網(wǎng)頁(yè)。

為什么開(kāi)放式重定向漏洞是危險(xiǎn)的？

攻擊者可以用額外的參數(shù)修改NASA的網(wǎng)站，將用戶(hù)引導(dǎo)到他們選擇的地方。重新跳轉(zhuǎn)的網(wǎng)站甚至可能類(lèi)似于NASA的頁(yè)面，只是在其中加入要求輸入信用卡數(shù)據(jù)的提示。

此外，攻擊者可以利用開(kāi)放的重定向漏洞，引導(dǎo)用戶(hù)進(jìn)入網(wǎng)站，在登陸后立即將惡意軟件下載到他們的電腦或移動(dòng)設(shè)備上。

另一種利用該漏洞的方式是通過(guò)將用戶(hù)重定向到展示低質(zhì)量?jī)?nèi)容或垃圾郵件的網(wǎng)站來(lái)控制搜索引擎的排名。

雖然我們沒(méi)有確認(rèn)是否有人真正利用了NASA網(wǎng)站的這個(gè)漏洞，但是事實(shí)上這個(gè)漏洞已經(jīng)暴露了幾個(gè)月。

如何減輕開(kāi)放式重定向漏洞的影響？

利用開(kāi)放式重定向漏洞可以使惡意行為者進(jìn)行網(wǎng)絡(luò)釣魚(yú)攻擊，竊取憑證并傳播惡意軟件。

為了避免此類(lèi)事故，Cybernews研究團(tuán)隊(duì)強(qiáng)烈建議網(wǎng)站驗(yàn)證所有用戶(hù)輸入，包括URL。

研究人員解釋說(shuō)：這可能包括使用正則表達(dá)式來(lái)驗(yàn)證URL的正確格式，檢查URL是否來(lái)自受信任的域，并驗(yàn)證URL不包含任何額外或惡意的字符。

為了防止惡意字符被注入U(xiǎn)RLs，網(wǎng)站管理員還可以使用URL編碼。同時(shí)，網(wǎng)站所有者可以創(chuàng)建一個(gè)可信URL的白名單，只允許重定向到這些URL。防止攻擊者將用戶(hù)重定向到惡意的或未經(jīng)授權(quán)的網(wǎng)站。

參考鏈接：https://cybernews.com/security/nasa-astrobiology-website-flaw/