英國政府安全項目Government-lab研究人員Mohammed Adel發現了英國國防部在線網關的一個漏洞，由于該網關系統僅限國防部內部雇員使用，此漏洞造成的影響可能會使攻擊者以內部人員身份入侵系統獲取內部信息。

　　Government-lab 主要對國家安全相關的信息安全漏洞進行研究

Mohammed Adel 聲稱他使用了一種過濾旁路攻擊方式（Filtering Bypass attack）驗證了漏洞的存在，這種攻擊不需使用@mod.uk認證的電子郵件就可實現入侵英國國防部網關系統。

成功利用漏洞入侵后，就能夠獲取到英國國防使用的人員訓練材料和國防部下發的內部資料，同時也能夠訪問內部信息和公告。英國防部的這個在線網關是一個軍隊使用平臺，所有軍隊單位的人員都可以使用該平臺來進行內部交流。

下圖為Mohammed Adel驗證漏洞存在的證明：

Mohammed Adel就此漏洞的評論是：“ 這個漏洞造成的影響是讓我看到了一些敏感信息，包括軍隊訓練資料數據，進一步研究就能了解國防部的相關作戰策略和戰術。黑客如果發現這樣的漏洞，或許就會竊取內部信息然后出售，將會對英國造成威脅。我不能告訴你我如何發現了這個漏洞，這是保密原則，但該漏洞是一種旁路過濾和文件重定向漏洞。”

*本文翻譯自 securityaffairs，轉載須注明來自FreeBuf.COM（FreeBuf.COM）