/cdn.vox-cdn.com/uploads/chorus_asset/file/23249791/VRG_ILLO_STK001_carlo_cadenas_cybersecurity_virus.jpg)
The Verge
·
研究人员称,系统漏洞使他们能够将假飞行员添加到用于TSA检查的名单中
💡
原文英文,约500词,阅读约需2分钟。
📝
内容提要
研究人员发现运输安全管理局(TSA)系统存在SQL注入漏洞,可能允许不法分子将假飞行员添加到航空公司名单中,从而轻易通过安检进入飞机驾驶舱。尽管TSA否认仅依赖该数据库进行身份验证,但安全隐患依然存在。
🎯
关键要点
- 研究人员发现运输安全管理局(TSA)系统存在SQL注入漏洞。
- 该漏洞允许任何具备基本SQL注入知识的人将自己添加到航空公司名单中。
- 研究人员在第三方网站FlyCASS中发现该漏洞,该网站为小型航空公司提供TSA的已知机组成员(KCM)系统和驾驶舱访问安全系统(CASS)。
- 通过简单的SQL注入,研究人员能够以管理员身份登录FlyCASS,并添加任何航空公司的机组记录和照片。
- 尽管TSA发言人否认仅依赖该数据库进行身份验证,但安全隐患依然存在。
❓
延伸问答
TSA系统的漏洞是什么?
研究人员发现TSA系统存在SQL注入漏洞,允许不法分子将假飞行员添加到航空公司名单中。
研究人员是如何发现这个漏洞的?
研究人员在第三方网站FlyCASS中发现该漏洞,通过输入简单的SQL注入代码进行测试。
这个漏洞可能带来什么安全隐患?
该漏洞可能允许不法分子轻易通过安检进入飞机驾驶舱,造成严重的安全风险。
TSA对此漏洞的回应是什么?
TSA发言人否认仅依赖该数据库进行身份验证,强调只有经过验证的机组成员才能进入安全区域。
研究人员如何利用这个漏洞进行攻击?
研究人员使用sqlmap工具,通过SQL注入以管理员身份登录FlyCASS,添加任何航空公司的机组记录和照片。
SQL注入是什么?
SQL注入是一种攻击技术,通过在输入字段中插入SQL代码,操控数据库执行未授权的操作。
➡️
