新闻快讯
< >

美国法院系统PACER存在跨站请求伪造漏洞近30年

E安全8月11日讯 据报道,美国法院电子司法卷宗公共存取系统PACER存在的跨站请求伪造漏洞,这个存在时间长达30年的漏洞现已被修复。黑客可利用该漏洞劫持账号,并检索受害者的民事和刑事诉讼案件卷宗。

PACER是美国法院电子司法卷宗公共存取系统,可供用户在线获取联邦上诉机构、地区和破产法院的案件和诉讼事件表信息。PACER由联邦司法机关提供,旨在通过集中式服务为用户提供途径访问法院信息。PACER主要使用对象为律师和记者,提取文件中的PDF和网页需付费10美分,每个文件至多3美元。

Free Law Project(提供法律资料、开发法律研究工具的组织)表示,攻击者利用这个跨站请求伪造漏洞获取任何访客的PACER账号,而账号信息可被用来下载PDF,给受害者带来经济损失。

美国法院系统PACER存在跨站请求伪造漏洞近30年 -E安全

研究人员表示,PACER使用Cookie存储登录凭证存在漏洞。由于这些Cookie未经安全处理,任何网站只需通过一段JavaScript代码就能调用这些Cookie,并检索访客的PACER登录详情。

研究人员发布了PoC(概念验证)证明漏洞风险并表示,PoC发布之前,该漏洞未被大肆利用。但对于PACER用户而言,未付费会影响信誉,美国法院行政管理办公室(Administrative Office of the US Courts)还会命人上门收欠款。

但更糟糕的是,PACER自上线开始(20世纪90年代)就可能存在该漏洞。Free Law Project于今年2月报告了该漏洞,本周三终于完全修复。

攻击者可利用被窃取的账号详情免费浏览文件,但研究人员曾担心登录凭证被盗可能会带来更严重的后果。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。