研究人员发现url解析漏洞可能会影响多个web应用程序。网络安全专家注意到一些漏洞是由受影响的库的不一致引起的。
他们进一步警告说,这些应用程序可能成为数据泄露、远程代码执行(RCE)和拒绝服务(DoS)攻击的出口。
什么是URL解析
在讨论某些库的错误之前,我们应该先了解URL解析的定义。根据Threatpost这个过程就是把一个网址“分解”成不同的组成部分。它的主要目标是适当地对齐不同服务器之间的流量。
许多编程语言允许URL解析库操作。他们可以通过在手机上导入应用程序来访问手机的功能。
每个研究人员的分析周一,有五个不同的组件,url是基于。这包括片段、查询、方案、路径和权限。在此基础上,该团队表示,他们每个人都指定了获取资源和其他流程所必需的角色。
相关文章:AT&T网络设备的旧漏洞现在被新的恶意软件利用来进行DoS攻击!成千上万的美国客户受到影响
URL解析困惑
从本周早些时候他们发现的情况来看,一些漏洞影响了库的解析。
在仔细检查了16个URL解析库后,Synk和Team82的研究人员确定了它们之间的5类不一致。这些是以下几点:
方案混淆-涉及在url中缺少方案
斜杠混淆-涉及到url中不规则数量的斜杠
反斜杠混淆-涉及url中的反斜杠
URL编码数据混淆-涉及URL编码数据
方案混淆-涉及使用不需要方案特定解析器的特定方案进行URL解析
报告还指出,主要的网络应用程序存在两个问题。这些是规范不兼容和使用的多个解析器。
用外行的话说,正如研究人员解释的那样,这种混乱可能会导致DoS和RCE攻击的出现。此外,URL混淆可以绕过Log4J Shell补丁,这是警告所有互联网用户。
8 URL解析错误
另一份来自黑客新闻1月10日,周一,研究人员发现了8个漏洞。以下是导致混淆的URL解析安全错误列表。他们使得第三方网络应用程序容易受到欺骗。
Belledonne的SIP栈(C, CVE-2021-33056)
Video.js (JavaScript, CVE-2021-23414)
Flask-security (Python, CVE-2021-23385)
Flask-security-too (Python, CVE-2021-32618)
Flask-unchained (Python, CVE-2021-23393)
Flask-User (Python, CVE-2021-23401)
清除(Ruby, CVE-2021-23435)
在家工作如何避免网络攻击
去年11月,《科技时报》写了一万博体育登录首页篇关于WFH攻击以及如何预防它们.为了保护您的计算机免受进一步的伤害,以下是您需要做的事情。
首先,定期检查你电脑上的密码,不要与他人分享,即使是与你的朋友。如果您注意到您的帐户上有警告信息,请立即联系当局寻求帮助。问问他们这个警告是否合法。
在此之后,我们建议您更换路由器,特别是那些旧型号的路由器。通常,过时的路由器很容易被黑客访问。
上周,我们还报道了谷歌在1月份推出了Pixel 911 Android漏洞的安全补丁。据报道,该故障导致用户无法拨打紧急热线。
读也:发现第三个Log4J安全漏洞| Apache发布了另一个补丁更新
本文归科技时报所有万博体育登录首页
作者:约瑟夫·亨利