网络第5域

安全研究人员发现可以在用于TSA检查的花名册中添加假飞行员的漏洞

字号+作者: 来源:cnBeta 2024-09-09 02:33 评论(创建话题) 收藏成功收藏本文

一对安全研究人员称,他们发现了美国运输安全管理局(TSA)用于在机场安检站验证航空公司机组人员的记录登录系统中的一个漏洞。研究人员伊恩-卡罗尔(IanCarro'...

一对安全研究人员称,他们发现了美国运输安全管理局(TSA)用于在机场安检站验证航空公司机组人员的记录登录系统中的一个漏洞。研究人员伊恩-卡罗尔(IanCarroll)在8月份的一篇博客文章中写道,这个漏洞让任何具备"SQL注入基础知识"的人都能将自己添加到航空公司的名册中,从而有可能让他们轻而易举地通过安检,从而进入商用飞机的驾驶舱。TH7品论天涯网

卡罗尔和他的搭档萨姆-库里(SamCurry)显然是在探测一家名为FlyCASS的供应商的第三方网站时发现了这个漏洞,该供应商为较小的航空公司提供访问运输安全管理局已知机组成员(KCM)系统和驾驶舱访问安全系统(CASS)的权限。他们发现,当他们在用户名字段中输入一个简单的撇号时,就会出现MySQL错误。TH7品论天涯网

这是一个非常不好的迹象,因为用户名似乎是直接插入登录SQL查询的。果然,我们发现了SQL注入,并使用sqlmap确认了问题。使用用户名'或'1'='1和密码')或MD5('1')=MD5('1),我们就能以国际航空公司管理员的身份登录FlyCASS!TH7品论天涯网

Carroll写道,一旦数据被录入,就"不需要进一步的检查或验证",阻止他们为任何使用FlyCASS的航空公司添加机组人员记录和照片。博客称,任何可能利用该漏洞的人都可以出示假的员工编号通过KCM安检站。TH7品论天涯网

TH7品论天涯网

TSA新闻秘书卡特-兰斯顿(R.CarterLangston)否认了这一说法,称该机构"并不完全依靠这个数据库来验证机组人员的身份,"只有经过验证的机组人员才被允许进入机场的安全区域"。TH7品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]