研究人员发现url解析漏洞可能会影响多个web应用程序。网络安全专家注意到一些漏洞是由受影响的库的不一致引起的。

他们进一步警告说，这些应用程序可能成为数据泄露、远程代码执行(RCE)和拒绝服务(DoS)攻击的出口。

什么是URL解析

在讨论某些库的错误之前，我们应该先了解URL解析的定义。根据Threatpost这个过程就是把一个网址“分解”成不同的组成部分。它的主要目标是适当地对齐不同服务器之间的流量。

许多编程语言允许URL解析库操作。他们可以通过在手机上导入应用程序来访问手机的功能。

每个研究人员的分析周一，有五个不同的组件，url是基于。这包括片段、查询、方案、路径和权限。在此基础上，该团队表示，他们每个人都指定了获取资源和其他流程所必需的角色。

相关文章:AT&T网络设备的旧漏洞现在被新的恶意软件利用来进行DoS攻击!成千上万的美国客户受到影响

URL解析困惑

从本周早些时候他们发现的情况来看，一些漏洞影响了库的解析。

在仔细检查了16个URL解析库后，Synk和Team82的研究人员确定了它们之间的5类不一致。这些是以下几点:

• 方案混淆-涉及在url中缺少方案

• 斜杠混淆-涉及到url中不规则数量的斜杠

• 反斜杠混淆-涉及url中的反斜杠

• URL编码数据混淆-涉及URL编码数据

• 方案混淆-涉及使用不需要方案特定解析器的特定方案进行URL解析

报告还指出，主要的网络应用程序存在两个问题。这些是规范不兼容和使用的多个解析器。

用外行的话说，正如研究人员解释的那样，这种混乱可能会导致DoS和RCE攻击的出现。此外，URL混淆可以绕过Log4J Shell补丁，这是警告所有互联网用户。

8 URL解析错误

另一份来自黑客新闻1月10日，周一，研究人员发现了8个漏洞。以下是导致混淆的URL解析安全错误列表。他们使得第三方网络应用程序容易受到欺骗。

• Belledonne的SIP栈(C, CVE-2021-33056)

• Video.js (JavaScript, CVE-2021-23414)

• Flask-security (Python, CVE-2021-23385)

• Flask-security-too (Python, CVE-2021-32618)

• Flask-unchained (Python, CVE-2021-23393)

• Flask-User (Python, CVE-2021-23401)

• 清除(Ruby, CVE-2021-23435)

在家工作如何避免网络攻击

去年11月，《科技时报》写了一万博体育登录首页篇关于WFH攻击以及如何预防它们．为了保护您的计算机免受进一步的伤害，以下是您需要做的事情。

首先，定期检查你电脑上的密码，不要与他人分享，即使是与你的朋友。如果您注意到您的帐户上有警告信息，请立即联系当局寻求帮助。问问他们这个警告是否合法。

在此之后，我们建议您更换路由器，特别是那些旧型号的路由器。通常，过时的路由器很容易被黑客访问。

上周，我们还报道了谷歌在1月份推出了Pixel 911 Android漏洞的安全补丁。据报道，该故障导致用户无法拨打紧急热线。

读也:发现第三个Log4J安全漏洞| Apache发布了另一个补丁更新

本文归科技时报所有万博体育登录首页

作者:约瑟夫·亨利