研究人員發現了可能影響多個Web應用程序的隔離錯誤。網絡安全專家注意到,由於受影響的圖書館的不一致而產生了一些漏洞。
他們進一步警告說,這些應用程序可能是數據洩漏,遠程代碼執行(RCE)和拒絕服務(DOS)攻擊的渠道。
什麼是URL解析
在討論擊中某些庫的錯誤之前,我們首先應該知道URL解析的定義。根據威脅桿,這是“將網址分解”到各種組件中的過程。它的主要目標是正確地對齊不同的服務器的流量。
許多編程語言允許URL解析庫運行。他們可以通過在上導入應用程序來訪問其功能來做到這一點。
根據研究人員的分析週一,URL基於五個不同的組件。這些包括碎片,查詢,方案,路徑和權威。最重要的是,團隊說他們每個人都指定了精確資源和其他流程所必需的角色。
相關文章:現在,新惡意軟件利用AT&T網絡設備的舊缺陷來進行DOS攻擊!成千上萬的美國客戶受到影響
URL解析混亂
從他們本週早些時候發現的東西來看,一些漏洞影響了圖書館的解析。
在仔細檢查16個URL解析庫後,Synk和Team82研究人員確定了其中五種不一致之處。這些是以下內容:
方案混亂 - 涉及URL中缺少方案
斜線混亂 - 涉及URL中的斜線數量不規則
後斜線混亂 - 涉及URL中的後斜切
URL編碼的數據混亂 - 涉及編碼數據的URL
方案混合 - 涉及不需要特定方案解析器的特定方案的URL解析
該報告補充說,在主要Web應用程序上看到了兩個問題。這些是規格不相容性和使用的多個解析器。
從外行的角度來看,正如研究人員所解釋的那樣,這種混亂可能導致DOS和RCE攻擊的出現。此外,URL混淆可能會繞過對所有Internet用戶都感到震驚的Log4J Shell補丁。
8個URL解析錯誤
在另一份報告中黑客新聞1月10日,星期一,研究人員發現了八個漏洞。以下是導致困惑的URL解析安全錯誤列表。他們使第三方Web應用程序容易欺騙。
貝萊頓的SIP堆棧(C,CVE-2021-33056)
Video.js(JavaScript,CVE-2021-23414)
Nagios XI(PHP,CVE-2021-37352)
燒瓶安全性(Python,CVE-2021-23385)
燒瓶安全性(Python,CVE-2021-32618)
燒瓶(Python,CVE-2021-23393)
燒瓶用戶(Python,CVE-2021-23401)
清除(Ruby,CVE-2021-23435)
如何在家工作時避免網絡攻擊
去年11月,Tech Times寫了一篇有關WFH攻擊以及如何防止他們。為了保護計算機免受進一步的傷害,這是您需要做的。
首先,定期檢查您的PC上的密碼,即使您的朋友也不會與他人共享密碼。如果您在帳戶上註意到一個令人震驚的消息,請立即聯繫當局尋求幫助。詢問他們警告是否合法。
之後,我們建議您更改路由器,尤其是那些是舊型號的路由器。通常,黑客可以輕鬆訪問過時的路由器。
上週,我們還報導了Google推出了一月Pixel 911 Android錯誤的安全補丁。據報導,該小故障阻止用戶調用緊急熱線。
另請閱讀:第三log4j安全缺陷發現| Apache發布另一個補丁更新
本文由技術時報擁有
約瑟夫·亨利(Joseph Henry)撰寫
