美國國家航空航天局（NASA）天體生物學專用網(wǎng)站的一個漏洞，可能通過偽裝帶有NASA名稱的危險URL來誘騙用戶訪問惡意網(wǎng)站。

太空旅行無疑是危險的。然而，在訪問NASA網(wǎng)站的時候也有可能如此。Cybernews研究團隊發(fā)現(xiàn)了一個NASA天體生物學網(wǎng)站的開放式重定向漏洞。

經(jīng)過研究人員的調(diào)查，早在幾個月前（2023年1月14日）已經(jīng)有研究人員通過漏洞賞金計劃發(fā)現(xiàn)并報告該漏洞，但該機構沒有處理和修復。

攻擊者可以利用這個漏洞將任何人重定向到惡意網(wǎng)站，從而獲取他們的登錄憑證、信用卡號碼或其他敏感數(shù)據(jù)。

自4月初以來，Cybernews研究團隊已多次聯(lián)系美國國家航空航天局，截止到今天尚未收到任何答復。

什么是開放式重定向漏洞？

開放式重定向漏洞簡單來說就像是一個假冒的出租車司機。例如你叫了一輛出租車并告訴司機你想去哪里，但是他并沒有把你送到目的地，而是把你帶到另一個地方。

同樣，試圖訪問 astrobiology.nasa.gov 的用戶可能就被重定向進入了一個惡意的網(wǎng)站。通常情況下，網(wǎng)絡應用程序會驗證用戶提供的輸入，如URL或參數(shù)，以防止惡意重定向的發(fā)生。

網(wǎng)絡新聞研究人員解釋說：攻擊者可以利用該漏洞，通過將惡意網(wǎng)址偽裝成合法網(wǎng)址，誘使用戶訪問惡意網(wǎng)站或釣魚網(wǎng)頁。

為什么開放式重定向漏洞是危險的？

攻擊者可以用額外的參數(shù)修改NASA的網(wǎng)站，將用戶引導到他們選擇的地方。重新跳轉的網(wǎng)站甚至可能類似于NASA的頁面，只是在其中加入要求輸入信用卡數(shù)據(jù)的提示。

此外，攻擊者可以利用開放的重定向漏洞，引導用戶進入網(wǎng)站，在登陸后立即將惡意軟件下載到他們的電腦或移動設備上。

另一種利用該漏洞的方式是通過將用戶重定向到展示低質(zhì)量內(nèi)容或垃圾郵件的網(wǎng)站來控制搜索引擎的排名。

雖然我們沒有確認是否有人真正利用了NASA網(wǎng)站的這個漏洞，但是事實上這個漏洞已經(jīng)暴露了幾個月。

如何減輕開放式重定向漏洞的影響？

利用開放式重定向漏洞可以使惡意行為者進行網(wǎng)絡釣魚攻擊，竊取憑證并傳播惡意軟件。

為了避免此類事故，Cybernews研究團隊強烈建議網(wǎng)站驗證所有用戶輸入，包括URL。

研究人員解釋說：這可能包括使用正則表達式來驗證URL的正確格式，檢查URL是否來自受信任的域，并驗證URL不包含任何額外或惡意的字符。

為了防止惡意字符被注入URLs，網(wǎng)站管理員還可以使用URL編碼。同時，網(wǎng)站所有者可以創(chuàng)建一個可信URL的白名單，只允許重定向到這些URL。防止攻擊者將用戶重定向到惡意的或未經(jīng)授權的網(wǎng)站。

參考鏈接：https://cybernews.com/security/nasa-astrobiology-website-flaw/