AT&T将笔测试有效载荷重定向到FBI的Tips门户

AT&T的一个网站秘密将渗透测试重定向到FBI的Tips门户,这使参与该公司的漏洞赏金计划的安全研究人员有触犯法律的危险。

秘密重定向是在AT&T的E-rate门户erate.att.com上找到的,学校和图书馆使用该重定向获得互联网和电话服务的折扣。

安全研究员马钱,该部分ThugCrowd团队,发现了重定向上周,同时寻找在AT&T网站漏洞。

Nux并没有试图入侵AT&T网站,而是在寻找安全漏洞,他可以通过其官方的漏洞赏金计划向该公司报告,并获得金钱奖励。

取而代之的是,当一个普通的渗透测试在他的bug搜索工具中触发了警报,并警告目标网站正试图将渗透测试重定向到一个新的URL(即FBI的Tips门户)时,研究人员感到非常讨厌。

重定向发生在Nux使用Sqlmap在AT&T E-rate门户中查找SQL漏洞时,也发生在当他使用NoScript浏览器扩展来测试跨站点脚本(XSS)漏洞是否可以中继更复杂的漏洞时。

渗透测试是安全研究人员模仿真实世界攻击以侵入公司网络的过程。

除了攻击者的意图外,渗透测试和实际攻击之间没有区别。渗透测试人员将向公司报告易受攻击的入口点,以便他们进行修补,而攻击者会将漏洞用于恶意目的。

不请自来的笔试

像Nux这样的安全研究人员之所以进行这些渗透测试,是因为AT&T之类的公司拥有漏洞赏金计划,通过该计划,他们邀请针对此类应用的此类流量。

FBI没有赏金计划,也没有进行此类笔测。

通过将渗透测试重定向到FBI的Tips门户,AT&T有效地使研究人员处于可以在美国政府网站上发起不受欢迎的渗透测试的位置。

渗透测试公司Threatcare的首席执行官Marcus J. Carey在本周的在线对话中对ZDNet表示:“笔测试流量是100%合法的,因此看起来像是一次真正的攻击。”

“这些合法研究人员正在使用标准和自定义工具来寻找漏洞。这是一个长期的尝试,但是通过AT&T反映出的合法漏洞可能会损害FBI。”

ZDNet于上周联系之后,AT&T已在周末取消了重定向。发言人没有再发表评论请求。联邦调查局不想发表评论。

凯里对ZDNet表示:“这肯定不应该是标准做法。” “我有信心FBI不会将攻击转发到他们的服务器。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。