美国法院系统PACER存在跨站请求伪造漏洞近30年
时间:2017-08-11 13:39
来源:E安全
作者:秩名
点击:
据报道,美国法院电子司法卷宗公共存取系统PACER存在的跨站请求伪造漏洞,这个存在时间长达30年的漏洞现已被修复。黑客可利用该漏洞劫持账号,并检索受害者的民事和刑事诉讼案件卷宗。
PACER是美国法院电子司法卷宗公共存取系统,可供用户在线获取联邦上诉机构、地区和破产法院的案件和诉讼事件表信息。PACER由联邦司法机关提供,旨在通过集中式服务为用户提供途径访问法院信息。PACER主要使用对象为律师和记者,提取文件中的PDF和网页需付费10美分,每个文件至多3美元。
Free Law Project(提供法律资料、开发法律研究工具的组织)表示,攻击者利用这个跨站请求伪造漏洞获取任何访客的PACER账号,而账号信息可被用来下载PDF,给受害者带来经济损失。
研究人员表示,PACER使用Cookie存储登录凭证存在漏洞。由于这些Cookie未经安全处理,任何网站只需通过一段JavaScript代码就能调用这些Cookie,并检索访客的PACER登录详情。
研究人员发布了PoC(概念验证)证明漏洞风险并表示,PoC发布之前,该漏洞未被大肆利用。但对于PACER用户而言,未付费会影响信誉,美国法院行政管理办公室(Administrative Office of the US Courts)还会命人上门收欠款。
但更糟糕的是,PACER自上线开始(20世纪90年代)就可能存在该漏洞。Free Law Project于今年2月报告了该漏洞,本周三终于完全修复。
攻击者可利用被窃取的账号详情免费浏览文件,但研究人员曾担心登录凭证被盗可能会带来更严重的后果。
(责任编辑:宋编辑)