美国宇航局致力于天体生物学的网站上的一个漏洞可能通过伪装一个带有美国宇航局名称的危险URL来欺骗用户访问恶意网站。

太空旅行无疑是危险的。显然，访问美国宇航局的合法网站也是如此。Cybernews研究团队独立发现了一个开放式重定向漏洞，该漏洞困扰着NASA的天体生物学网站。

在发现这个漏洞后，我们发现一个开放的漏洞赏金计划研究人员已经在几个月前，即2023年1月14日发现了这个漏洞，但该机构并没有解决和修复它。

然而，这意味着，在2023年5月之前的至少几个月里，世界领先的空间研究设施之一使全球用户面临风险。攻击者可以利用该漏洞将任何人重定向到恶意网站，提示用户泄露他们的登录凭据、信用卡号码或其他敏感数据。

自四月初以来，我们已经多次与NASA联系，但在本文发表前尚未收到任何回复。

什么是开放的重定向漏洞？

公开的重定向缺陷就像一个作弊的出租车司机。假设你叫了一辆出租车，告诉司机你想去哪里。他们没有确认目的地，而是带你去了一个令人讨厌的社区。

类似地，试图访问天体生物学的用户很容易就会在恶意网站上结束。通常，web应用程序会验证或清理用户提供的输入，例如URL或参数，以防止恶意重定向的发生。

“攻击者可以利用该漏洞，通过将恶意URL伪装为合法URL来欺骗用户访问恶意网站或网络钓鱼页面，”网络新闻研究人员解释道。

为什么一个开放的重定向缺陷是危险的？

攻击者可以用额外的参数修改NASA的网站，并将用户引导到他们选择的地方。恶意重定向甚至可能类似于美国宇航局的页面，只是要求输入信用卡数据的提示。

此外，威胁行为者可以利用公开的重定向错误引导用户访问网站，这些网站在用户登陆后立即将恶意软件下载到他们的计算机或移动设备上。

另一种利用该漏洞的方法是通过将用户重新定向到显示低质量内容或垃圾邮件的网站来操纵搜索引擎排名。

虽然我们还没有确认是否有人真正利用了困扰美国宇航局网站的漏洞，但我们的团队，以及公开漏洞赏金程序的研究人员，都是独立地发现了这个漏洞。

由于这个公开的重定向缺陷已经存在了几个月，也许还有其他人可能没有那么利他的意图，他们偶然发现了同样的发现。