તુર્કુ યુનિવર્સિટીના સંશોધકો (ફિનલેન્ડ) જાણીતા કર્યા તાજેતરમાં વિશ્લેષણના પરિણામો તેઓએ રિપોઝીટરીમાં પેકેજો સાથે કર્યું PyPI દ્વારા સંભવિત જોખમી બાંધકામોના ઉપયોગ માટે જે નબળાઈઓ પેદા કરી શકે છે. વિશ્લેષણમાં કે આશરે 197.000 પેકેજો હાથ ધરવામાં આવ્યા હતા અને 749.000 સંભવિત સુરક્ષા સમસ્યાઓ ઓળખવામાં આવી હતી.
બીજા શબ્દોમાં કહીએ તો, 46% પેકેજોમાં આમાંની ઓછામાં ઓછી એક સમસ્યા છે, જેમાંથી સૌથી સામાન્ય સમસ્યાઓ અપવાદો સંભાળવા અને કોડ અવેજી ક્ષમતાનો ઉપયોગ સંબંધિત છે.
ઓળખાયેલી 749 હજાર સમસ્યાઓમાંથી 442 હજાર (41%) સગીર તરીકે ચિહ્નિત થયેલ છે, 227 હજાર (30%) સાધારણ ખતરનાક છે અને 80 હજાર (11%) ખતરનાક છે.
ડેટાસેટ Python Package Index (PyPI) માં સંગ્રહિત તમામ પેકેજોના સ્નેપશોટ પર આધારિત છે ...
સમસ્યાઓના પ્રકારોના સંદર્ભમાં, જેમ કે અપવાદ હેન્ડલિંગ અને વિવિધ કોડ ઇન્જેક્શન એ સૌથી સામાન્ય સમસ્યાઓ છે. આ અર્થમાં, થ્રેડો મોડ્યુલ બહાર રહે છે. સામાન્ય રીતે નાના પેકેટ સાઇઝ પર પ્રતિબિંબિત કરતા, સોફ્ટવેર સાઇઝ મેટ્રિક્સ વિશ્લેષણ દ્વારા જાહેર થયેલા મુદ્દાઓની સંખ્યાની સારી રીતે આગાહી કરતા નથી.
કેટલાક પેકેજો સામાન્ય બહાર છે અને તેમાં હજારો સમસ્યાઓ છે: ઉદાહરણ તરીકે, PyGGI પેકેજમાં 2589 સમસ્યાઓ મળી આવી હતી, જે મુખ્યત્વે "ટ્રાય-સિવાય-પાસ" કન્સ્ટ્રક્ટના ઉપયોગથી સંબંધિત હતી, અને 2356 સમસ્યાઓ appengine-sdk પેકેજમાં મળી હતી. Genie.libs.ops, pbcore અને genie.libs.parser પેકેજોમાં પણ ઘણી સમસ્યાઓ છે.
એ નોંધવું જોઇએ કે પરિણામો સ્વયંસંચાલિત સ્થિર વિશ્લેષણના આધારે મેળવવામાં આવ્યા હતા, જે ચોક્કસ રચનાઓના ઉપયોગના સંદર્ભને ધ્યાનમાં લેતા નથી.
બેન્ડિટ ડેવલપર, જેનો ઉપયોગ કોડ સ્કેન કરવા માટે કરવામાં આવ્યો હતો, સૂચવ્યું કે મોટી સંખ્યામાં ખોટા ધનને કારણે, એલસ્કેન પરિણામો નબળાઈઓ ગણી શકાય નહીં દરેક સમસ્યાની વધારાની મેન્યુઅલ સમીક્ષા વિના સીધી.
ઉદાહરણ તરીકે, પાર્સર અવિશ્વસનીય રેન્ડમ નંબર જનરેટર અને MD5 જેવા હેશિંગ અલ્ગોરિધમ્સના ઉપયોગને સુરક્ષાની ચિંતા માને છે, જ્યારે કોડમાં આવા અલ્ગોરિધમ્સનો ઉપયોગ એવા હેતુઓ માટે થઈ શકે છે જે સુરક્ષાને અસર કરતા નથી.
વિશ્લેષક એ પણ માને છે કે કોઈપણ બાહ્ય ડેટા પ્રોસેસિંગ અથાણું, yaml.load, subprocess અને eval જેવા અસુરક્ષિત કાર્યોમાં તે એક સમસ્યા છે, પરંતુ આ ઉપયોગ જરૂરી રીતે નબળાઈ સાથે સંકળાયેલ નથી અને હકીકતમાં, આ કાર્યોનો ઉપયોગ સુરક્ષા ખતરો વિના અમલમાં મુકાયેલી સમસ્યા હોઈ શકે છે.
અભ્યાસમાં ઉપયોગમાં લેવાતા નિયંત્રણો પૈકી:
- સંભવિત અસુરક્ષિત કાર્યો એક્ઝિક્યુટ, એમકેટેમ્પ, ઇવલ, માર્ક_સેફ, વગેરેનો ઉપયોગ.
- ફાઇલ એક્સેસ અધિકારોનું અસુરક્ષિત રૂપરેખાંકન.
- નેટવર્ક પ્લગને તમામ નેટવર્ક ઇન્ટરફેસો સાથે જોડો.
- પાસવર્ડ્સ અને એન્ક્રિપ્ટેડ કીઓનો ઉપયોગ.
- પૂર્વવ્યાખ્યાયિત કામચલાઉ ડિરેક્ટરીનો ઉપયોગ કરવો.
- પાસનો ઉપયોગ કરો અને કેચ-ઓલ-સ્ટાઇલ અપવાદ હેન્ડલર્સમાં ચાલુ રાખો.
- ડિબગીંગ મોડ સક્ષમ સાથે ફ્લાસ્ક વેબ ફ્રેમવર્ક પર આધારિત વેબ એપ્લિકેશન લોન્ચ કરો.
- ડેટાને ડિસેરીલાઇઝ કરવા માટે અસુરક્ષિત પદ્ધતિઓનો ઉપયોગ કરવો.
- MD2, MD4, MD5 અને SHA1 હેશ ફંક્શન્સનો ઉપયોગ કરીને.
- અસુરક્ષિત ડીઇએસ સાઇફર્સ અને એન્ક્રિપ્શન મોડ્સનો ઉપયોગ.
- પાયથોનની કેટલીક આવૃત્તિઓમાં અસુરક્ષિત HTTPSConnection અમલીકરણનો ઉપયોગ કરવો.
- Urlopen માં ફાઇલ: // સ્કીમા સ્પષ્ટ કરી રહ્યા છીએ.
- ક્રિપ્ટોગ્રાફિક કાર્યો કરતી વખતે સ્યુડો-રેન્ડમ નંબર જનરેટરનો ઉપયોગ કરો.
- ટેલનેટ પ્રોટોકોલનો ઉપયોગ કરવો.
- અસુરક્ષિત XML પાર્સર્સનો ઉપયોગ કરવો.
વધુમાં, PyPI ડિરેક્ટરીમાં 8 દૂષિત પેકેજોની શોધનો ઉલ્લેખ કરવામાં આવ્યો છે. સમસ્યા પેકેજો દૂર કરતા પહેલા 30 થી વધુ વખત ડાઉનલોડ કરવામાં આવ્યા હતા. દૂષિત પ્રવૃત્તિ છુપાવવા અને પેકેજો પર સરળ સ્થિર પાર્સર ચેતવણીઓ ટાળવા માટે, અમે Base64 ફોર્મેટનો ઉપયોગ કરીને કોડ સાથે બ્લોક એન્કોડિંગનો ઉપયોગ કર્યો અને eval પર ફોન કરીને ડીકોડિંગ પછી તેનું એક્ઝેક્યુશન સ્ટેજ કર્યું.
ઉમદા, જિનેસિસબોટ, ક્રોમ અને એજ બ્રાઉઝર્સમાં સંગ્રહિત ક્રેડિટ કાર્ડ નંબર અને પાસવર્ડ્સને અટકાવવા, તેમજ ડિસ્કોર્ડ એપ્લિકેશનમાંથી એકાઉન્ટ ટોકન ટ્રાન્સફર કરવા અને સિસ્ટમમાંથી ડેટા મોકલવા, સ્ક્રીનશોટ સહિત, નોબલ્સ, જિનેસિસબોટ, નોબેલસેવ 2 અને નોબલ્સસેવ 2 પેકેજોમાં મળેલો કોડ છે. સ્ક્રીન સામગ્રીની. … Pytagora અને pytagora2 પેકેજોમાં તૃતીય-પક્ષ એક્ઝિક્યુટેબલ કોડ ડાઉનલોડ અને ચલાવવાની ક્ષમતા શામેલ છે.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં