FCC在其网站上关闭病毒上传漏洞

联邦通信委员会(FCC)已经采取措施确保其网站,用户发现他们可以上传恶意软件之后。

周四,安全研究人员发现了与美国政府机构网站评论系统相关的功能,让他们上传文件。

该网站允许任何人注册获取一个软件密钥,让他们上传他们想要的文件。

FCC表示没有证据显示恶意软件实际上传了。

FCC评论系统旨在最大限度地提高包容性,该系统的一部分允许任何人将文档上传为公众意见,这在本例中发生了什么。“FCC告诉英国广播公司。

“委员会已制定了防止恶意软件上传到评论系统的程序。而且FCC正在与其云合作伙伴进行额外的扫描并采取额外的步骤,以确保没有已知的恶意软件已经上传到评论系统。“

通信看门狗说,在撰写本文时,不可能以这种方式上传文件。

在普遍的视野中,这个bug出现在通过FCC站点提供的应用程序编程接口(API)中。

API是一项成熟的技术,让开发人员通过网络与组织持有的数据及其提供的服务进行交互。

虽然对于公众的评论系统容易使用和上传文件,在向看门人投诉时,API并不意味着公开访问。

但是,任何知道在FCC网站上找到API的人都可以请求访问它。说明如何上传文件的文档也在网站上公开发布。

安全研究人员尝试了API,填写表单以请求访问通过电子邮件使用的密钥。

当他们收到密钥时,用户惊讶地发现他们能够将他们喜欢的任何文件类型上传到网站,无论文件是文件,音乐文件还是可执行代码。

程序员声称他们能够上传大小为25MB的文件,“Contratastic”杂志的编辑Guise Bule在网站Medium上写道。

所载文章来源于网络,如果不慎侵犯了您的权益,请联系我们删除! 站长支持:

Copyright © 2012 - 2016 All Rights Reserved 福建新闻网地方频道网 版权所有