В официальном web-приложении NASA Mars Program была обнаружена опасная уязвимость

image

Теги: NASA, web-приложение, XSS-уязвимость

Исследователю удалось изменить список пассажиров, отправлявшихся в тестовый полет космического аппарата Orion.

В базе данных NASA из 1,3 млн имен, отправленных в космос на борту американской беспилотной капсулы Orion, одно имя оказалось сфальсифицированным. Имя 'Payload1 Payload2' прошло регистрацию после того, как исследователь безопасности Бенджамин Кунц Меджри (Benjamin Kunz Mejri) обнаружил и проэксплуатировал брешь на online-сервисе NASA, сообщает издание The Register.

Соответствующую информацию NASA получила от Меджри еще в октябре, но отреагировала только в середине ноября. Меджри считает, что агентство оказалось не в состоянии подтвердить достоверность 1,3 млн имен: 4 декабря он обнаружил, что одно из сфабрикованных им имен присутствовало в базе данных на правах прошедшего проверку.

Из трех подложных имен специалисты NASA выявили два, а одно благополучно прошло процедуры верификации и валидации, сообщает  исследователь. В официальном web-приложении NASA Mars Program была обнаружена опасная уязвимость, позволяющая внедрить и выполнить произвольный программный код.

Американское космическое ведомство предложило всем желающим косвенно принять участие в тестовом полете ракеты Orion, заполнив форму на специальном сайте . Написанное имя было должно полететь в космос на борту космического аппарата, записанное на чип.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus