(资料图)
几个月来,美国宇航局的一个网站容易受到开放重定向缺陷的影响,导致威胁行为者将毫无戒心的访问者重定向到恶意的第三方登陆页面。
Cybernews团队的网络安全研究人员表示,没有证据表明该漏洞在野外被滥用,但这种情况很有可能发生。
本周早些时候,网络新闻团队报道称,其研究人员发现美国宇航局天体生物学网站存在缺陷。该漏洞允许威胁行为者将访问者重定向到其他地方,研究人员认为黑客可能创建了一个看似与NASA网站相同的网站。
该团队还表示,另一位安全研究人员也在1月中旬独立发现了同样的缺陷。他们表示,鉴于NASA未能解决其所在地的漏洞(尽管及时收到通知),因此恶意行为者也很有可能发现了该漏洞。
Cybernews团队表示,为了防止开放重定向缺陷,网站所有者需要验证所有用户输入(包括URL),以确保输入仅包含有效值。
研究人员表示:“这可以包括使用正则表达式来验证URL的格式是否正确、检查URL是否来自受信任的域以及验证URL是否不包含任何意外或恶意字符。”
另一种方法是URL编码,它可以防止恶意字符被注入到URL中。这有效地防止了威胁行为者利用开放重定向缺陷,即使这些缺陷存在于网站上。
“网站所有者可以创建可信URL白名单,并且只允许重定向到这些URL。这有助于防止攻击者将用户重定向到恶意或未经授权的网站。”该团队总结道。
关键词:
质检
推荐
