让不懂建站的用户快速建站,让会建站的提高建站效率!
开户免费送体验金38元8元
商议东谈主员警告说,由于16个不同的URL理会库之间的不一致而导致的8个不同的安全粗疏,可能导致多种Web应用设施中的拒却工作(DoS)情况、信息浮现和良友代码推论(RCE)。
相对于事业,张柏芝的感情生活更受人关注。她和谢霆锋当年被称为娱乐圈的金童玉女,结婚之后,两人一直是相敬如宾,恩爱非常,尤其是张柏芝给谢霆锋生下两个儿子之后,谢霆锋更是把张柏芝宠成了一个公主。本以为这样的婚姻会天长地久,却没想到谢霆锋最终还是因为“性格不合”和张柏芝离了婚,着实让人唏嘘不已!
这些粗疏是在为多样话语编写的第三方Web包中发现的,况且像Log4Shell和其他软件供应链威迫一样,可能已被导入到数百或数千个不同的Web应用设施和模样中。受影响的是Flask(一个用Python编写的小型Web框架)、Video.js(HTML5视频播放器)、Belledonne(免费的VoIP和IP视频电话)、Nagios XI(相聚和工作器监控)和Clearance(Ruby密码考证)。
跳至问题摘录。
富厚URL理会错乱URL理会是将Web地址分解为其底层组件的经由,以便正确地将流量路由到不同的相连或不同的工作器。可用于多样编程话语的URL理会库频频被导入到应用设施中以达成此功能。
来自Claroty Team82商议部门和Synk的商议东谈主员在周一的一份分析请教中写谈:“URL实质上是由五个不同的组件组成的:决策、权限、旅途、查询和片断。”“每个组件齐演出着不同的扮装,它决定了申请的合同、握有资源的主机、应该取得的真的资源等等。”
把柄详细分析,由于每个库进行理会行径的样式不同,安全粗疏会倏得出现。
Team82和Synk商议了16个不同的URL理会库,包括:urllib(Python)、urllib3(Python)、rfc3986(Python)、httptools(Python)、curl lib(cURL)、Wget、Chrome(Browser)、Uri(.NET)、URL(Java)、URI(Java)、parse_url(PHP)、url(NodeJS)、url-parse(NodeJS)、net/url(Go)、uri(Ruby)和URI(Perl)。
他们在这些库理会组件的样式中发现了五类不一致:
Scheme羞辱:触及丢失或Scheme姿色失误的URL的羞辱 斜杠羞辱:包含不轨则斜杠数目的URL羞辱 反斜杠羞辱:触及包含反斜杠(\)的URL羞辱 URL编码数据羞辱:触及包含URL编码数据的URL羞辱 Scheme Mix-ups:触及在莫得特定Scheme理会器的情况下理会属于某个Scheme的URL羞辱把柄请教,问题在于,由于两个主要的Web应用设施建设粗疏,这些不一致可能会产生易受报复的代码块:
使用多个理会器:无论是出于盘算推算仍是毅然,建设东谈主员未必会在模样中使用多个URL理会库。由于某些库可能会以不相同式理会交流的URL,因此可能会在代码中引入粗疏。 轨范不兼容:不同的理会库是把柄不同的Web步伐或URL轨范编写的,这在盘算推算上酿成了不一致,这也会导致粗疏,因为建设东谈主员可能不熟练URL轨范之间的互异过火含义(举例,应该检查或计帐的内容)。动作真的报复场景的示例,斜线羞辱可能导致工作器端申请伪造(SSRF)粗疏,这可用于达成RCE。商议东谈主员评释说,不同的库以不同的样式处分斜杠数目提升频频数目的URL(举例https:///www.google.com):其中一些会忽略弥散的斜杠,而另一些则将URL评释为莫得主机。
关于前者(大无边当代浏览器和cURL齐领受这种方法),接受姿色失误、斜杠数目不正确的URL可能导致SSRF,商议东谈主员评释说:“[不]忽略非凡斜杠的库......将理会这个[姿色失误]URL动作具有空权限(netloc)的URL,因此通过了对netloc(在本例中为空字符串)与google.com进行相比的安全检查。但是,由于cURL忽略了弥散的斜杠,因此它将取得URL从而绕过尝试的考证,并导致SSRF粗疏。”
把柄Claroty的说法,URL羞辱亦然绕过Log4Shell补丁的原因,因为在JNDI查找经由中使用了两种不同的URL理会器:一个理会器具于考证URL开户免费送体验金38元8元,另一个理会器具于取得URL。
商议东谈主员评释说:“把柄每个理会器处分URL的片断部分(#)的不同,权限也会发生变化。”“为了考证URL的主机是否被允许,Java的URI被使用,它理会URL、索取主机,并检查主机是否在允许主机的白名单中。事实上,如果咱们使用Java的URI理会这个URL,咱们会发现URL的主机号是127.0.0.1,它包含在白名单中。但是,在某些操作系统(主如果macOS)和特定树立上,当JNDI查找程度取得此URL时,它不会尝试从127.0.0.1取得它,而是向127.0.0.1#.evilhost.com发出申请。这意味着天然此坏心负载将绕过AllowedDaPost localhost考证(由URI理会器完成),但它仍将尝试从良友位置取得类。”
URL理会安全粗疏在他们的分析中,商议东谈主员在第三方Web应用设施中发现了八个由URL理会羞辱导致的高危粗疏。他们说,除了在不受复古的Flask版块中发现的那些以外,产品中心通盘这些齐已被修补,因此建设东谈主员应该使用更新的版块更新他们的应用设施:
1. Flask-security通达重定向(Python,CVE-2021-23385)
2. Flask-security-too通达重定向(Python,CVE-2021-32618)
3. Flask-User通达重定向(Python,CVE-2021-23401)
4. Flask-unchained通达重定向(Python,CVE-2021-23393)
5. Belledonne的SIP堆栈空指针迤逦援用(DoS)(C,CVE-2021-33056)
6. Video.js跨站剧本(XSS)(JavaScript,CVE-2021-23414)
7. Nagios XI通达重定向(PHP,CVE-2021-37352)
8. Clearance通达重定向(Ruby,CVE-2021-23435)
通达重定向粗疏很容易被欺诈,因为它们不错进行乱来、相聚垂钓和中间东谈主报复(MITM)。当Web应用设施接受用户示寂的输入,该输入指定用户在特定操作后将被重定向到的URL时,就会发生这种情况。举例,当用户登录网站时,他们可能会被重定向到坏心网站。
商议东谈主员评释说,通达式重定向报复频频通过考证来辞谢:“Web工作器考证给定的URL,况且只允许属于并吞站点或受信任域列表的URL。”
URL库羞辱会干与正确的考证,就像Clearance粗疏一样。商议东谈主员指出,Clearance(Ruby的Rails框架中一个庸碌应用的第三方插件,不错达成简单安全的电子邮件和密码身份考证)中的易受报复的函数是“return_to”。此函数在登录/刊出经由之后调用,况且应该将用户安全地重定向到他们之前申请的页面。但是,如果不错劝服指标单击具有以下语法的URL,则可将其碎裂:http://www.victim.com/////evil.com。
商议东谈主员评释说:“由于Rails忽略了URL中的多个斜杠,因此旅途段将无缺到达Clearance(/////evil.com)并在其进行理会。”“由于URI.parse删除了两个斜杠,因此生成的URL是///evil.com。每当工作器将用户重定向到此URL///evil.com时,浏览器齐会将此相聚旅途相对援用调换为指向evil.com域(主机)的十足http://evil.com URL。”
Belledonne VoIP崩溃在Belledonne的Linphone中发现了一个更兴趣兴趣的粗疏,这是一个免费的IP语音软电话、SIP客户端和用于音频和视频通话的工作。把柄分析,由于它处分SIP音讯理会的样式,它遭逢了scheme羞辱。
商议东谈主员评释说:“通过商议Belledone的URL理会功能,咱们发现[a]段代码理会了to/from SIP header中的SIP URL。”“Belledone将SIP URL理会为通用URL,并使用strcasecmp检查决策是SIP仍是SIP,以及给定的URL是否为SIP URL。”
然则,他们评释说,Belledonne generic_uri接受由不同URL组件创建的URL,而不需要存在特定组件。
他们回想说:“这意味着仅包含旅途而莫得URL scheme的URL是有用的URL。”“通过此方法,咱们提供了一个只包含一个斜杠(/)的URL,导致URL的决策成果为NULL。然后,当Belledone使用strcasecmp时,它会相比一个NULL指针(因为莫得提供scheme),从而导致NULL指针取消援用和应用设施崩溃。”
该团队创建了一个倡导考证粗疏欺诈代码,该代码约略通过简单的坏心VoIP呼唤来使任何良友用户的应用设施崩溃,“条件受报复用户的零交互”。
Team82和Synk商议东谈主员指出,“可能会出现很多粗疏,从可能导致良友代码推论的SSRF粗疏到可能导致复杂相聚垂钓报复的通达重定向粗疏。”他们说,为了保护他们的应用设施,建设东谈主员应领受以下措施:
使用尽可能少的理会器。商议东谈主员说:“咱们淡薄您完全幸免使用URL理会器,而且一般情况下这是很容易达成。”
在microservice环境中传输理会的URL。他们指出:“如果microservice是在不同的框架或编程话语中达成,他们可能会使用不同的URL理会器。”“为了幸免这个问题,你不错简单地在前端microservice中理会URL,并以理会后的形势进一步传输它。”
了解与应用设施业务逻辑相干的理会器的互异。未必无法幸免使用多个理会器,因此建设东谈主员需要提防理会行径的互异。
在理会之前遥远轨范化URL。遥远确保应用设施删除多个正向/反向斜杠、空格和示寂字符,以便在理会之前将URL规复为正确的形势。
本文翻译自:https://threatpost.com/url-parsing-bugs-dos-rce-spoofing/177493/如若转载,请注明原文地址。
开户免费送体验金38元8元