/cdn.vox-cdn.com/uploads/chorus_asset/file/23249791/VRG_ILLO_STK001_carlo_cadenas_cybersecurity_virus.jpg)
The Verge
·
研究人员称漏洞允许他们将假飞行员添加到用于TSA检查的名单中
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
两名安全研究人员发现了美国交通安全局(TSA)用于验证航空公司机组成员的登录系统中的漏洞。该漏洞使得任何具备基本的SQL注入知识的人都可以将自己添加到航空公司的名单中,潜在地让他们轻松通过安全检查并进入商业飞机的驾驶舱。研究人员通过对FlyCASS供应商的第三方网站进行探测发现了这个漏洞。漏洞可能导致任何人通过伪造员工号码来通过KCM安全检查。
🎯
关键要点
- 两名安全研究人员发现了美国交通安全局(TSA)用于验证航空公司机组成员的登录系统中的漏洞。
- 该漏洞允许任何具备基本SQL注入知识的人将自己添加到航空公司的名单中。
- 研究人员通过探测FlyCASS供应商的第三方网站发现了这个漏洞。
- 漏洞可能导致任何人通过伪造员工号码轻松通过KCM安全检查。
- 研究人员使用sqlmap确认了SQL注入问题,并成功以管理员身份登录FlyCASS。
- 登录后,没有进一步的检查或认证,允许他们为任何使用FlyCASS的航空公司添加机组记录和照片。
➡️
