Cybernews 研究团队于2023年1月14日发现了一个困扰 NASA 天体生物学网站的开放式重定向漏洞。

这意味着世界领先的太空研究设施之一使全球用户至少在 2023 年 5 月之前的几个月内面临风险。攻击者可能会利用该漏洞将任何人重定向到恶意网站，促使用户放弃他们的登录凭据，信用卡号或其他敏感数据。

自 4 月初以来，安全专家已多次联系 NASA，但在发表本文之前尚未收到任何回复。

什么是开放重定向漏洞？

开放重定向缺陷类似于作弊的出租车司机。假设你叫了一辆出租车，并告诉司机你想去哪里。他们没有验证目的地，而是带你去一个令人讨厌的街区。

类似地，尝试访问 astrobiology.nasa.gov 的用户很容易就进入了恶意网站。通常，Web 应用程序会验证或清理用户提供的输入，例如 URL 或参数，以防止发生恶意重定向。

Cybernews 研究人员解释说：“攻击者可以利用该漏洞，通过将恶意 URL 伪装成合法 URL 来诱骗用户访问恶意网站或钓鱼页面。”

为什么开放重定向漏洞很危险？

攻击者可以使用附加参数修改 NASA 的网站，并将用户引导至他们选择的位置。恶意重定向甚至可能类似于 NASA 的页面，只是用要求输入信用卡数据的提示进行修饰。

此外，威胁行为者可以利用开放的重定向错误将用户引导至网站，这些网站在登陆后立即将恶意软件下载到他们的计算机或移动设备。

另一种利用该漏洞的方法是通过将用户重定向到展示低质量内容或垃圾邮件的网站来操纵搜索引擎排名。

虽然我们无法确认是否有人真正利用了困扰 NASA 网站的漏洞，但我们的团队以及开放漏洞赏金计划的研究人员相互独立地发现了该漏洞。

由于开放重定向缺陷已经存在了几个月，可能还有其他人无意中发现了同样的发现。