我是如何「黑入」NASA却免于牢狱之灾的

安东尼奥·里维拉·波布特 | 2025年9月13日 | 2分钟阅读

大家好，我是安东尼奥·里维拉，一名安全研究员、漏洞猎人和道德黑客。曾为多家企业提供安全防护，获得过漏洞赏金、荣誉榜提名以及感谢信。

🌌 黑入NASA——充满挑战的旅程

让我告诉你——以道德方式黑入NASA绝非一朝一夕之功。这项成果是持续努力、学习和在其平台上进行漏洞挖掘的结果。

当时我正在排查一个类似vuln.nasa.gov的子域名，采用传统手动测试方式：小型探测、寻找IDOR（不安全的直接对象引用）、CSTI（客户端模板注入）、XSS（跨站脚本）等常见漏洞。

当我点击日历表单时，界面仅显示日期选择器和几个字段——这种容易被开发者遗忘的UI。我尝试注入最简单的单引号载荷：'，网站瞬间崩溃。

出现的不是优雅的错误页面，而是丑陋的Django跟踪信息。调试模式处于开启状态，堆栈跟踪泄露了本不该公开的内部配置和环境细节。简而言之，开发便利性成了安全漏洞。

可通过Bugcrowd平台的NASA漏洞披露计划参与漏洞挖掘。该平台连接全球安全研究员与企业，提供漏洞赏金计划。

本文涉及技术标签：#漏洞赏金 #NASA #黑客技术 #网络安全