研究人员发现url解析漏洞可能会影响多个web应用程序。网络安全专家注意到一些漏洞是由受影响的库的不一致引起的。

他们进一步警告说,这些应用程序可能成为数据泄露、远程代码执行(RCE)和拒绝服务(DoS)攻击的出口。

什么是URL解析

第三方url解析库上的安全漏洞可能会影响一些Web应用程序| DoS攻击、泄漏等
(图片来源:Mati Mango via Pexels)
URL-Parsing错误

在讨论某些库的错误之前,我们应该先了解URL解析的定义。根据Threatpost这个过程就是把一个网址“分解”成不同的组成部分。它的主要目标是适当地对齐不同服务器之间的流量。

许多编程语言允许URL解析库操作。他们可以通过在手机上导入应用程序来访问手机的功能。

每个研究人员的分析周一,有五个不同的组件,url是基于。这包括片段、查询、方案、路径和权限。在此基础上,该团队表示,他们每个人都指定了获取资源和其他流程所必需的角色。

相关文章:AT&T网络设备的旧漏洞现在被新的恶意软件利用来进行DoS攻击!成千上万的美国客户受到影响

URL解析困惑

从本周早些时候他们发现的情况来看,一些漏洞影响了库的解析。

在仔细检查了16个URL解析库后,Synk和Team82的研究人员确定了它们之间的5类不一致。这些是以下几点:

  • 方案混淆-涉及在url中缺少方案

  • 斜杠混淆-涉及到url中不规则数量的斜杠

  • 反斜杠混淆-涉及url中的反斜杠

  • URL编码数据混淆-涉及URL编码数据

  • 方案混淆-涉及使用不需要方案特定解析器的特定方案进行URL解析

报告还指出,主要的网络应用程序存在两个问题。这些是规范不兼容和使用的多个解析器。

用外行的话说,正如研究人员解释的那样,这种混乱可能会导致DoS和RCE攻击的出现。此外,URL混淆可以绕过Log4J Shell补丁,这是警告所有互联网用户。

8 URL解析错误

另一份来自黑客新闻1月10日,周一,研究人员发现了8个漏洞。以下是导致混淆的URL解析安全错误列表。他们使得第三方网络应用程序容易受到欺骗。

  • Belledonne的SIP栈(C, CVE-2021-33056)

  • Video.js (JavaScript, CVE-2021-23414)

  • Flask-security (Python, CVE-2021-23385)

  • Flask-security-too (Python, CVE-2021-32618)

  • Flask-unchained (Python, CVE-2021-23393)

  • Flask-User (Python, CVE-2021-23401)

  • 清除(Ruby, CVE-2021-23435)

在家工作如何避免网络攻击

去年11月,《科技时报》写了一万博体育登录首页篇关于WFH攻击以及如何预防它们.为了保护您的计算机免受进一步的伤害,以下是您需要做的事情。

首先,定期检查你电脑上的密码,不要与他人分享,即使是与你的朋友。如果您注意到您的帐户上有警告信息,请立即联系当局寻求帮助。问问他们这个警告是否合法。

在此之后,我们建议您更换路由器,特别是那些旧型号的路由器。通常,过时的路由器很容易被黑客访问。

上周,我们还报道了谷歌在1月份推出了Pixel 911 Android漏洞的安全补丁。据报道,该故障导致用户无法拨打紧急热线。

读也:发现第三个Log4J安全漏洞| Apache发布了另一个补丁更新

本文归科技时报所有万博体育登录首页

作者:约瑟夫·亨利

corber2万博体育登录首页022 TECHTIMES.com未经允许,请勿转载。