তুর্কু বিশ্ববিদ্যালয়ের গবেষকরা (ফিনল্যান্ড) আমার স্নাতকের সম্প্রতি একটি বিশ্লেষণের ফলাফল তারা সংগ্রহস্থলের প্যাকেজগুলিতে করেছিল পাইপিআই দ্বারা সম্ভাব্য বিপজ্জনক নির্মাণের ব্যবহারের জন্য যা দুর্বলতা তৈরি করতে পারে। বিশ্লেষণে যে প্রায় 197.000 প্যাকেজ করা হয়েছিল এবং 749.000 সম্ভাব্য নিরাপত্তা সমস্যা চিহ্নিত করা হয়েছিল।
অন্য কথায়, 46% প্যাকেজগুলির মধ্যে কমপক্ষে এই সমস্যাগুলির মধ্যে একটি রয়েছে, যার মধ্যে সবচেয়ে সাধারণ সমস্যাগুলির মধ্যে রয়েছে ব্যতিক্রমগুলি পরিচালনা করা এবং কোড প্রতিস্থাপন ক্ষমতা ব্যবহার করা।
চিহ্নিত 749 হাজার সমস্যার মধ্যে 442 হাজার (41%) নাবালক হিসাবে চিহ্নিত করা হয়েছিল, 227 হাজার (30%) মাঝারি বিপজ্জনক হিসাবে এবং 80 হাজার (11%) বিপজ্জনক হিসাবে।
ডেটাসেটটি পাইথন প্যাকেজ ইনডেক্স (PyPI) এ সংরক্ষিত সমস্ত প্যাকেজের স্ন্যাপশটের উপর ভিত্তি করে তৈরি করা হয়েছে ...
সমস্যাগুলির ধরনগুলির ক্ষেত্রে, যেমন ব্যতিক্রম হ্যান্ডলিং এবং বিভিন্ন কোড ইনজেকশনগুলি সবচেয়ে সাধারণ সমস্যা। এই অর্থে, থ্রেড মডিউল দাঁড়িয়ে আছে। সাধারণত ছোট প্যাকেটের আকারের প্রতিফলন, সফ্টওয়্যার আকারের মেট্রিক বিশ্লেষণের মাধ্যমে প্রকাশিত সমস্যার সংখ্যা সম্পর্কে ভালভাবে পূর্বাভাস দেয় না।
কিছু প্যাকেজ সাধারণের বাইরে এবং হাজার হাজার সমস্যা রয়েছে: উদাহরণস্বরূপ, PyGGI প্যাকেজে 2589 টি সমস্যা পাওয়া গেছে, যা মূলত "ট্রাই-ব্যতীত পাস" কনস্ট্রাক্ট ব্যবহারের সাথে সম্পর্কিত এবং 2356 টি সমস্যা অ্যাপেনজিন-এসডিকে প্যাকেজে পাওয়া গেছে। Genie.libs.ops, pbcore, এবং genie.libs.parser প্যাকেজেও অনেক সমস্যা রয়েছে।
এটি লক্ষ করা উচিত যে ফলাফলগুলি একটি স্বয়ংক্রিয় স্ট্যাটিক বিশ্লেষণের ভিত্তিতে প্রাপ্ত হয়েছিল, যা নির্দিষ্ট কাঠামোর প্রয়োগের প্রসঙ্গটি বিবেচনায় নেয় না।
দস্যু ডেভেলপার, যিনি কোডটি স্ক্যান করতে ব্যবহার করেছিলেন, পরামর্শ দিয়েছেন যে বিপুল সংখ্যক মিথ্যা ইতিবাচক কারণে, ঠস্ক্যান ফলাফল দুর্বলতা বিবেচনা করা যাবে না সরাসরি প্রতিটি সমস্যার অতিরিক্ত ম্যানুয়াল পর্যালোচনা ছাড়াই।
উদাহরণস্বরূপ, পার্সার একটি অবিশ্বস্ত র্যান্ডম নম্বর জেনারেটর এবং MD5 এর মতো হ্যাশিং অ্যালগরিদম ব্যবহারকে নিরাপত্তার বিষয় হিসেবে বিবেচনা করে, যেখানে কোডে এই ধরনের অ্যালগরিদমগুলি এমন উদ্দেশ্যে ব্যবহার করা যেতে পারে যা নিরাপত্তাকে প্রভাবিত করে না।
বিশ্লেষক এটাও বিবেচনা করেন যে কোন বাহ্যিক তথ্য প্রক্রিয়াকরণ আচার, yaml.load, subprocess এবং eval এর মতো অনিরাপদ কাজগুলিতে এটা একটা সমস্যা, কিন্তু এই ব্যবহার অগত্যা একটি দুর্বলতার সাথে যুক্ত নয় এবং প্রকৃতপক্ষে, এই ফাংশনগুলির ব্যবহার একটি নিরাপত্তা হুমকি ছাড়া বাস্তবায়িত সমস্যা হতে পারে।
গবেষণায় ব্যবহৃত নিয়ন্ত্রণগুলির মধ্যে:
- সম্ভাব্য অনিরাপদ ফাংশন এক্সিকিউট, এমকেটেম্প, ইভাল, মার্ক_সেফ ইত্যাদি ব্যবহার।
- ফাইল অ্যাক্সেস অধিকারের অনিরাপদ কনফিগারেশন।
- সমস্ত নেটওয়ার্ক ইন্টারফেসে একটি নেটওয়ার্ক প্লাগ সংযুক্ত করুন।
- পাসওয়ার্ড এবং এনক্রিপ্ট করা কী ব্যবহার।
- একটি পূর্বনির্ধারিত অস্থায়ী ডিরেক্টরি ব্যবহার করে।
- পাস ব্যবহার করা এবং ক্যাচ-অল-স্টাইলের ব্যতিক্রম হ্যান্ডলারগুলিতে চালিয়ে যান।
- ডিবাগিং মোড সক্ষম করে ফ্লাস্ক ওয়েব ফ্রেমওয়ার্কের উপর ভিত্তি করে ওয়েব অ্যাপ্লিকেশন চালু করুন।
- ডেটারিয়ালাইজ করার জন্য অনিরাপদ পদ্ধতি ব্যবহার করা।
- MD2, MD4, MD5 এবং SHA1 হ্যাশ ফাংশন ব্যবহার করে।
- অনিরাপদ DES সাইফার এবং এনক্রিপশন মোডের ব্যবহার।
- পাইথনের কিছু সংস্করণে একটি অনিরাপদ HTTPSConnection বাস্তবায়ন ব্যবহার করা।
- Urlopen এ ফাইল: // স্কিমা নির্দিষ্ট করা।
- ক্রিপ্টোগ্রাফিক কাজ করার সময় ছদ্ম-এলোমেলো সংখ্যা জেনারেটর ব্যবহার করুন।
- টেলনেট প্রোটোকল ব্যবহার করে।
- অনিরাপদ এক্সএমএল পার্সার ব্যবহার করে।
অতিরিক্তভাবে, পাইপিআই ডিরেক্টরিতে 8 টি দূষিত প্যাকেজ সনাক্ত করার কথা উল্লেখ করা হয়েছে। মুছে ফেলার আগে সমস্যা প্যাকেজগুলি 30 বারেরও বেশি ডাউনলোড করা হয়েছিল। দূষিত কার্যকলাপ আড়াল করতে এবং প্যাকেজে সহজ স্ট্যাটিক পার্সার সতর্কতা এড়াতে, আমরা Base64 ফর্ম্যাট ব্যবহার করে কোড সহ ব্লক এনকোডিং ব্যবহার করেছি এবং eval কল করে ডিকোডিংয়ের পরে এটি কার্যকর করা হয়েছে।
নোবেলস, জেনেসিসবট -এ পাওয়া কোডগুলি হল, suff, noblesse2 এবং noblessev2 প্যাকেজগুলি ক্রোম এবং এজ ব্রাউজারে সংরক্ষিত ক্রেডিট কার্ড নম্বর এবং পাসওয়ার্ডগুলি আটকানোর পাশাপাশি ডিসকর্ড অ্যাপ্লিকেশন থেকে অ্যাকাউন্ট টোকেন স্থানান্তর এবং স্ক্রিনশট সহ সিস্টেম থেকে ডেটা পাঠান পর্দার বিষয়বস্তু। … Pytagora এবং pytagora2 প্যাকেজগুলি তৃতীয় পক্ষের এক্সিকিউটেবল কোড ডাউনলোড এবং চালানোর ক্ষমতা অন্তর্ভুক্ত করে।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি বিশদ পরীক্ষা করতে পারেন নীচের লিঙ্কে।