色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

Zip Slip 漏洞影響重要企業(yè)數(shù)千個(gè)項(xiàng)目

pIuy_EAQapp ? 來源:未知 ? 作者:李倩 ? 2018-06-08 14:16 ? 次閱讀

6月7日訊 英國軟件公司 Snyk 的安全團(tuán)隊(duì)2018年 6月5日公開披露影響處理壓縮文件的開源編碼庫的嚴(yán)重漏洞“Zip Slip(“壓縮失誤”)”,它是一種影響廣泛的存檔文件提取漏洞,允許攻擊者在系統(tǒng)上編寫任意文件,可引發(fā)遠(yuǎn)程命令執(zhí)行問題。Snyk 已發(fā)布技術(shù)白皮書詳細(xì)介紹了該漏洞。

影響重要企業(yè)數(shù)千個(gè)項(xiàng)目

Snyk 的首席執(zhí)行官蓋·伯德扎尼,安全研究人員早在過去就曾注意到這個(gè)漏洞,但從未預(yù)料到它會得到如此廣泛的傳播。

可導(dǎo)致文件被解壓到錯(cuò)誤的位置

Zip Slip 屬于任意文件覆蓋漏洞,通過目錄遍歷攻擊被觸發(fā),可從存檔文件中提取文件,可導(dǎo)致攻擊者將文件解壓到正常的解壓路徑中并覆寫敏感文件,例如重要的OS庫或者服務(wù)器配置文件。該漏洞影響了大量壓縮格式,包括 tar、jar、war、cpio、apk、rar和7z。

雖然該漏洞廣泛存在于 JavaScript、Ruby、.NET、Go 等多種程序語言中,其影響了包括谷歌、甲骨文、IBM、Apache、亞馬遜、Spring/Pivotal、Linkedin、Twitter、阿里巴巴、Eclipse、OWASP、ElasticSearch 和 JetBrains 在內(nèi)的數(shù)千個(gè)項(xiàng)目,但該漏洞主要影響的是 Java 生態(tài)系統(tǒng),因?yàn)槠淙狈?a target="_blank">中心程序庫對存檔文件進(jìn)行高級處理,導(dǎo)致開發(fā)人員必須自己編寫代碼或使用共享代碼。

關(guān)于“Zip Slip”漏洞

Snyk 在技術(shù)白皮書中寫道,攻擊者可使用特制、含有目錄遍歷文件名(例如../../evil.sh)的存檔文件來觸發(fā)該漏洞。攻擊者要利用該漏洞需具備兩個(gè)前提條件:1、惡意存檔文件;2、提取代碼不執(zhí)行驗(yàn)證檢查。

研究人員指出,選用合適的工具創(chuàng)建惡意存檔文件很容易,而且存在缺陷的庫/代碼片段相當(dāng)多,因此該漏洞很容易被利用發(fā)起攻擊。

伯德扎尼認(rèn)為漏洞之所以存在,又兩個(gè)原因:

程序代碼本身很復(fù)雜,不具備安全專家知識的開發(fā)人員通常將工作重點(diǎn)放在按時(shí)完成代碼編寫上,因此安全漏洞的問題容易被忽略。

在不斷擴(kuò)展的開源世界中,開發(fā)人員嚴(yán)重依賴共享的庫,并復(fù)制 StackOverflow 等社交網(wǎng)絡(luò)的代碼。這種重用的做法有助于加速開發(fā),但也意味著共享代碼庫(或其它)中的漏洞傳播速度更快,Zip Slip 就是如此。

研究人員也公布了PoC代碼,便于開發(fā)人員檢測漏洞是否存在。Snyk 還發(fā)布了利用該漏洞的視頻演示:

漏洞修復(fù)可能不徹底

伯德扎尼表示,許多大型的庫和項(xiàng)目現(xiàn)已修復(fù)問題,但這不意味著所有人都將使用最新版的庫。

Snyk 安全團(tuán)隊(duì)提供了建議措施,以供檢查項(xiàng)目是否受到 Zip Slip 漏洞影響,包括在項(xiàng)目中搜索易受攻擊的代碼。Snyk 還舉例羅列了不同程序語言中易受攻擊的代碼以及可供檢查的驗(yàn)證代碼。

Snyk 未提及攻擊者利用該漏洞的情況。伯德扎尼指出,由于利用的結(jié)果只是簡單體現(xiàn)在系統(tǒng)的文件中,因此難以檢測系統(tǒng)是否已被利用。檢測工具可檢查 Zip 和通過其它來源進(jìn)入網(wǎng)絡(luò)的其它存檔文件來識別攻擊,檢查其中列出的文件,并標(biāo)記指向外部文件夾的文件(例如../../evil.exe)。值得注意的是,存檔文件可上傳到應(yīng)用程序或從內(nèi)部下載,因此應(yīng)當(dāng)監(jiān)控這兩種流量來源。

聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報(bào)投訴
  • 編碼
    +關(guān)注

    關(guān)注

    6

    文章

    942

    瀏覽量

    54815
  • 漏洞
    +關(guān)注

    關(guān)注

    0

    文章

    204

    瀏覽量

    15368

原文標(biāo)題:Zip Slip 漏洞席卷數(shù)千個(gè)采用“壓縮文件開源編碼庫”項(xiàng)目

文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

收藏 人收藏

    評論

    相關(guān)推薦

    利用NVIDIA SHARP網(wǎng)絡(luò)計(jì)算提升系統(tǒng)性能

    AI 和科學(xué)計(jì)算是分布式計(jì)算問題的典型示例。這些問題通常計(jì)算量巨大,計(jì)算很密集,無法在單臺機(jī)器上完成。于是,這些計(jì)算被分解為并行任務(wù),由分布在數(shù)千個(gè) CPU 或 GPU 的計(jì)算引擎上運(yùn)行。
    的頭像 發(fā)表于 11-13 11:42 ?306次閱讀
    利用NVIDIA SHARP網(wǎng)絡(luò)計(jì)算提升系統(tǒng)性能

    覺機(jī)器人完成數(shù)千萬元天使輪融資

    近日,多模態(tài)觸覺感知傳感器公司覺機(jī)器人(Xense Robotics)成功完成了數(shù)千萬元人民幣的天使輪融資。本輪融資由高瓴創(chuàng)投(GL Ventures)領(lǐng)投,交大菡源基金等投資方跟投。
    的頭像 發(fā)表于 10-14 16:02 ?304次閱讀

    蘋果macOS 15 Sequoia將修復(fù)18年老漏洞,筑牢企業(yè)內(nèi)網(wǎng)安全防線

    8月8日,網(wǎng)絡(luò)安全領(lǐng)域傳來重要消息,一個(gè)長達(dá)18年的安全漏洞正在被黑客廣泛利用,以入侵企業(yè)內(nèi)網(wǎng),威脅企業(yè)信息安全。幸運(yùn)的是,蘋果公司已確認(rèn)在
    的頭像 發(fā)表于 08-08 17:16 ?464次閱讀

    芯片巨頭計(jì)劃大裁員!波及數(shù)千崗位!

    來源:EETOP 編輯:感知芯視界 Link 據(jù)彭博社本周二援引知情人士的話報(bào)道,英特爾計(jì)劃削減數(shù)千個(gè)工作崗位,旨在為公司的復(fù)蘇提供資金并應(yīng)對市場份額的侵蝕。計(jì)劃最早可能在本周宣布。 這一消息公布前
    的頭像 發(fā)表于 08-02 09:55 ?464次閱讀

    英特爾將裁員數(shù)千人 降本增效

    裁員、降本增效似乎總在不經(jīng)意間就來臨,為節(jié)約成本、應(yīng)對盈利下滑和市場份額下降;英特爾或?qū)⒉脝T數(shù)千人。 據(jù)彭博社31日報(bào)道,英特爾的裁員計(jì)劃最早可能會在本周宣布。目前英特爾公司大約有11萬名員工;裁員
    的頭像 發(fā)表于 07-31 18:10 ?1174次閱讀

    從CVE-2024-6387 OpenSSH Server 漏洞談?wù)?b class='flag-5'>企業(yè)安全運(yùn)營與應(yīng)急響應(yīng)

    在當(dāng)今數(shù)字化時(shí)代,網(wǎng)絡(luò)安全已成為企業(yè)運(yùn)營中不可忽視的重要一環(huán)。隨著技術(shù)的不斷發(fā)展,黑客攻擊手段也在不斷升級,其中0day漏洞的利用更是讓企業(yè)防不勝防。0day
    的頭像 發(fā)表于 07-10 10:29 ?1506次閱讀
    從CVE-2024-6387 OpenSSH Server <b class='flag-5'>漏洞</b>談?wù)?b class='flag-5'>企業(yè)</b>安全運(yùn)營與應(yīng)急響應(yīng)

    編寫了一個(gè)簡單的SSL應(yīng)用程序,用于向服務(wù)器發(fā)送HTTPS請求,SSL握手失敗的原因?

    我編寫了一個(gè)簡單的SSL應(yīng)用程序,用于向服務(wù)器發(fā)送HTTPS請求。在數(shù)千個(gè)請求之后,應(yīng)用程序在握手期間崩潰: 客戶端握手開始。 型號:M 1032 致命異常 29
    發(fā)表于 07-10 08:05

    使用Vela IF820 DVK和EZ-Serial,傳輸幾千個(gè)字節(jié)時(shí),接收端會丟失數(shù)據(jù)的原因?

    我正在使用 Vela IF820 DVK(帶 MHF4 連接器)和 EZ-Serial,使用 BT Classic SPP 配置文件進(jìn)行串行電纜更換應(yīng)用。 傳輸幾百個(gè)字節(jié)時(shí)運(yùn)行正常,但傳輸幾千個(gè)
    發(fā)表于 05-24 08:18

    生態(tài)系統(tǒng)即戰(zhàn)略,是IBM將企業(yè)級AI技術(shù)帶給行業(yè)客戶的主力軍

    ,這些C端應(yīng)用只是暴露于海面的一角,深藏于海面之下的是體量龐大、影響更深、更廣的企業(yè)級AI市場。根據(jù)麥肯錫的研究,整體上生成式AI每年可為全球企業(yè)創(chuàng)造高達(dá)4.4萬億美元的利潤。 深耕企業(yè)級市場多年, 基于對
    的頭像 發(fā)表于 05-17 09:56 ?355次閱讀

    微軟五月補(bǔ)丁修復(fù)61個(gè)安全漏洞,含3個(gè)零日漏洞

    值得注意的是,此次修復(fù)并不包含5月2日修復(fù)的2個(gè)微軟Edge漏洞以及5月10日修復(fù)的4個(gè)漏洞。此外,本月的“補(bǔ)丁星期二”活動還修復(fù)了3個(gè)零日
    的頭像 發(fā)表于 05-15 14:45 ?687次閱讀

    價(jià)格“錨定”磷酸鐵鋰,鈉電池企業(yè)提質(zhì)降本進(jìn)行時(shí)

    2024年將有超過5家鈉電企業(yè)完成5GWh級鈉電池產(chǎn)能,超過5家企業(yè)完成數(shù)千噸級聚陰離子正極材料產(chǎn)能。
    的頭像 發(fā)表于 04-16 17:21 ?711次閱讀

    通用人工智能對智能汽車產(chǎn)業(yè)的變革

    王曉剛詳述道,汽車智能研發(fā)體系相當(dāng)錯(cuò)綜復(fù)雜,譬如在自動駕駛過程中,當(dāng)從高速區(qū)域擴(kuò)展至城市區(qū)時(shí),代碼數(shù)量增長數(shù)十倍,每天需處理數(shù)千個(gè)案例,因此研究高效生產(chǎn)方法極為關(guān)鍵。
    的頭像 發(fā)表于 03-18 11:25 ?391次閱讀

    裁員潮仍在繼續(xù) 諾基亞將在印度裁員約250人 谷歌將再裁員數(shù)千

    再裁員數(shù)千人。 諾基亞將在印度裁員約250人 外媒報(bào)道稱為降低成本諾基亞正在對其印度業(yè)務(wù)進(jìn)行重大的組織結(jié)構(gòu)調(diào)整,不但要裁撤首席財(cái)務(wù)官、首席技術(shù)官和法律事務(wù)主管這類重要的管理崗位,預(yù)計(jì)還會要裁員約250人。 谷歌將再裁員數(shù)千人 同
    的頭像 發(fā)表于 02-21 11:30 ?1543次閱讀

    思科計(jì)劃裁員5%,達(dá)數(shù)千

    2月14日,思科(Cisco)宣布最新一季財(cái)報(bào),同時(shí)表示,作為全公司重組的一部分,計(jì)劃裁員5%,達(dá)數(shù)千人。主要原因是客戶仍處「去庫存」階段,導(dǎo)致思科保守看待營運(yùn)展望。
    的頭像 發(fā)表于 02-19 14:43 ?915次閱讀

    個(gè)集成的BurpSuite漏洞探測插件

    BurpSuite在日常滲透測試中占據(jù)重要地位,是一款廣受認(rèn)可的滲透測試工具。通過其強(qiáng)大的功能和用戶友好的界面,支持安全人員發(fā)現(xiàn)和修復(fù)Web應(yīng)用程序中的潛在漏洞。不僅適用于初級滲透測試人員,也為高級安全專家提供了靈活性和定制性,使其能夠更深入地分析和攻擊應(yīng)用程序。
    的頭像 發(fā)表于 01-19 11:35 ?1279次閱讀
    一<b class='flag-5'>個(gè)</b>集成的BurpSuite<b class='flag-5'>漏洞</b>探測插件
    主站蜘蛛池模板: 日本午夜精品理论片A级APP发布 | 跳蛋按摩棒玉势PLAY高H| 伊人久久青青| 国产超碰人人爱被IOS解锁| 伦理片 qvod| 亚洲人成人77777在线播放| 川师 最美老师| 男女免费观看在线爽爽爽视频| 亚洲AV综合色一区二区三区| 边摸边吃奶边做激情叫床视| 恋夜影视列表免费安卓手机版| 亚洲国产精品久久人人爱| 父亲猜女儿在线观看| 欧美成人中文字幕在线视频 | 51国产偷自视频在线视频播放| 国产精品亚洲二线在线播放 | 午夜伦yy44880影院| 草民电影网午夜伦理电影网| 麻豆精选2021| 亚洲欭美日韩颜射在线二| 国产人A片777777久久| 色久久久综合88一本道| JK白丝校花爽到娇喘视频| 乱奷XXXXXHD| 伊人久久网站| 久久精品国产96精品亚洲| 亚洲精品tv久久久久久久久久| 国产成人在线视频播放| 日韩欧无码一区二区三区免费不卡 | 国产午夜不卡| 天海翼精品久久中文字幕| 北岛玲手机在线观看视频观看| 女攻男受高h全文肉肉| 18禁三级黄| 老师给美女同学开嫩苞| 一边啪啪的一边呻吟声口述 | 亚洲一区综合图区| 果冻传媒AV精品一区| 亚洲爆乳少妇精品无码专区| 国产精品无码久久久久不卡| 爽爽影院线观看免费|