美国国防部修复了一个影响其内部网络的严重漏洞，该漏洞允许威胁参与者通过修改发送到国防部服务器的web请求中的一些参数来劫持国防部帐户。

该漏洞是由杰夫·斯坦伯格发现的，美国安全公司的安全研究员https://silentbrach.com/“target=”noopener noreferrer nofollow“data component=”externalLink“>无声破坏，并通过国防部的漏洞披露计划（VDP）。

该问题的严重性评级为“严重（9~10） “因为该漏洞需要最少的技术技能来利用和劫持攻击者选择的任何国防部帐户。

报告问题的严重性为斯坦伯格赢得了国防部“本月最佳研究员”奖，尽管该缺陷是研究人员的第一份国防部VDP报告。

While今天早些时候已经披露了有关该缺陷的一些详细信息，完整的报告将无法完全提供；为了保护国防部网络的安全。

根据这份总结报告，该漏洞被归类为不安全的直接对象引用（IDOR）漏洞，应用程序中缺少安全检查的一种缺陷，允许黑客在不进行任何额外身份检查的情况下修改一些参数。

在国防部的情况下，该漏洞允许攻击者接收发送到国防部网站的合法web请求，修改用户ID和用户名参数，并且国防部网站允许攻击者可以更改任何用户的国防部帐户密码-这将允许黑客劫持帐户并随后破坏国防部的网络。

今天，IDOR漏洞被认为是很容易发现的，因为有太多的自动工具，使得发现这些漏洞的过程不那么耗时。

目前大多数IDOR漏洞都允许攻击者修改无害的参数和调整不重要的帐户设置，但是，当IDOR错误位于敏感的帐户字段（如密码和帐户恢复/付款电子邮件）或购物车中的价格值时，某些IDOR错误也会产生严重的后果https://twitter.com/johnjhacking“target=”\u blank“rel=”noopener noreferrer“data component=”externalLink“>John Jackson，一个应用程序在今天的访谈中，告诉我们，<一个不安全的漏洞，在访问中，通过添加不安全的漏洞，工程师说，不安全的漏洞不需要先在站点上进行身份验证，或者先获得受攻击的DOD用户的会话cookie。

黑客竞赛

注册即表示您同意
2023-03-22 10:04:22