美航空管理服务系统存在严重SQL注入漏洞：允许未经授权人员绕过机场安检

文章预览

最近，一项研究揭示了航空运输安全系统中的一个严重漏洞，该漏洞允许未经授权的人员绕过机场安检。Known Crewmember（KCM）和Cockpit Access Security System（CASS）是两个允许飞行员、空乘人员及其他航空公司员工绕过传统安检并进入机舱座位的系统。这些系统通过验证员工在航空公司的在职状态来决定是否授权其跳过安检或访问机舱。验证过程包括出示身份证明，然后TSA（美国运输安全管理局）工作人员使用笔记本电脑验证员工状态。 研究人员伊恩·卡罗尔（Ian Carroll）和萨姆·库里（Sam Curry）对这些系统的验证过程进行了研究，发现不同航空公司可能使用不同的系统来管理员工数据。 ARINC（柯林斯航空系统的子公司）为TSA管理KCM系统，通过API在不同航空公司之间路由授权请求。大航空公司可能有自己的系统，而小航空公司则往往依赖像FlyCASS这样的第三 ………………………………