Mwakpo ịdabere na-enye ohere igbu koodu na PayPal, Microsoft, Apple, Netflix, Uber na ụlọ ọrụ 30 ndị ọzọ

Febọchị ole na ole gara aga weputara uzo di nfe nke iju anya nke n’enye ndi agha ike na ngwa nke mepụtara site na iji nchekwa ngwugwu dị n'ime. Ndị nyocha ahụ chọpụtara nsogbu ha nwere ike ịme koodu gị na sava nke ụlọ ọrụ 35, gụnyere PayPal, Microsoft, Apple, Netflix, Uber, Tesla, na Shopify.

Emere hacks ahụ dịka akụkụ nke mmemme Bug Bounty, na nhazi nke ụlọ ọrụ ndị a wakporo, ndị omekome anatalarị $ 130.000 na ego maka ịchọpụta ọghọm.

Usoro a sitere na eziokwu ahụ ọtụtụ ụlọ ọrụ na-eji nkwado ndabere ọkọlọtọ nke NPM, PyPI na RubyGems na ngwa ha, yana ịdabere na ụlọ nke a na-anaghị ekesa ma ọ bụ budata site na ebe nchekwa ha.

Nsogbu bụ ndị nlekọta ngwugwu dị ka npm, pip na mkpuru Ha na-anwa ibudata ịdabere na ntụkwasị obi nke ụlọ ọrụ, ọbụlagodi site na nchekwa ọha. Maka mbuso agha, naanị kọwaa aha nchịkọta ndị ahụ na ịdabere na ya ma mepụta nchịkọta nke gị na otu aha na nchịkọta ọha nke NPM, PyPI na RubyGems.

Nsogbu a ezighi ezi na NPM, PyPI, na RubyGems, ọ na-egosipụtakwa na sistemụ ndị ọzọ dịka NuGet, Maven, na Yarn.

Echiche maka usoro a chọrọ mgbe onye na-eme nchọpụta chọpụtara na mberede na n'ihu koodu dị na GitHub, ọtụtụ ụlọ ọrụ anaghị ewepụ aha ndị ọzọ metụtara ịdabere na faịlụ gosipụtara ha eji ya n'ime oru ma obu mgbe emejuputara oru. Achọpụtala ihe ndị yiri ya na koodu JavaScript nke ọrụ weebụ, yana Node.JS, Python, na Ruby oru nke ọtụtụ ụlọ ọrụ.

Isi leaks metụtara njikọ nke ọdịnaya site na faịlụ package.json na koodu JavaScript dị n'ihu ọha n'oge usoro iwu ahụ, yana iji ụzọ ụzọ dị adị na-achọ oku (), enwere ike iji ya kpee aha ndabere.

Nyochaa ọtụtụ nde ngalaba ụlọ ọrụ gosipụtara ọtụtụ puku aha ngwugwu JavaScript nke na-anọghị na nchekwa NPM. Mgbe ha chịkọtara nchekwa data nke aha ngwugwu dị n'ime, onye nyocha ahụ kpebiri ime nnwale iji mbanye akụrụngwa nke ụlọ ọrụ ndị na-esonye na mmemme Bug Bounty. Nsonaazụ ahụ dị ịtụnanya dị irè na onye nyocha ahụ nwere ike ịme koodu ya na ọtụtụ kọmpụta mmepe na sava ndị na-ahụ maka iwu ma ọ bụ nnwale dabere na sistemụ na-aga n'ihu na-aga n'ihu.

Mgbe ị na-ebudata ịdabere na ya, ndị njikwa ngwugwu npm, pip, na gem bụ ndị agbakwunyere nchịkọta sitere na nchekwa ndị ọha bụ isi NPM, PyPI, na RubyGems, bụ ndị e weere dị ka ihe kacha mkpa.

Eleghara ọnụnọ nke ngwugwu ndị nwere otu aha na ụlọ ọrụ ụlọ ọrụ nkeonwe na-egosighi ịdọ aka ná ntị ọ bụla ma ọ bụ kpatara mkpọka nke ahụ nwere ike ịdọrọ uche ndị nchịkwa. Na PyPI, akara nbudata na-emetụta nọmba mbipute (n'agbanyeghị agbanye nchekwa, ebudatara nsụgharị kachasị ọhụrụ nke ngwugwu). Na NPM na RubyGems, ihe kacha mkpa bụ naanị ịdabere na nchekwa.

Onye nyocha ahụ etinyela nchịkọta na NPM, PyPI na RubyGems repositories ndị na-agafe aha nke ndị a hụrụ n'ime ha, na-agbakwunye koodu na edemede nke na-agba ọsọ tupu echichi (tinye ya na NPM) iji kpokọta ozi gbasara sistemụ ahụ ma zipụ ozi anata na onye ọbịa na mpụga.

Iji nyefee ozi banyere ihe ịga nke ọma nke mbanye anataghị ikike, gbanye firewalls na-egbochi mpụga okporo ụzọ, usoro ịhazi nkwukọrịta nzuzo ọwa ozi gbasara usoro protocol DNS. Koodu ahụ na-agba ọsọ kpebiri onye nwe ụlọ na mpaghara ọgụ n'okpuru njikwa nke ngalaba ọgụ, nke mere ka ọ nwee ike ịnakọta ozi gbasara arụmọrụ na-aga nke ọma na sava DNS. A gafere ozi banyere nnabata, aha njirimara na ụzọ dị ugbu a.

Ejikọtara 75% nke koodu mkpokọ ederede niile na nbudata ngwugwu NPM, ọ bụ n'ihi eziokwu ahụ bụ na e nwere ọtụtụ aha JavaScript modul karịa aha Python na Ruby dependency names.

Isi: https://medium.com/


Ọdịnaya nke isiokwu agbaso ụkpụrụ anyị nke ụkpụrụ nduzi. Kpesa mmejọ pịa ebe a.

Bụrụ onye mbụ ịza ajụjụ

Hapu okwu gi

Adreesị email gị agaghị bipụtara. Chọrọ ubi na-akara na *

*

*

  1. Rụ ọrụ maka data: Miguel Ángel Gatón
  2. Nzube nke data: Nchịkwa SPAM, njikwa okwu.
  3. Ikike: Nkwenye gị
  4. Nkwurịta okwu nke data: Agaghị agwa ndị ọzọ data ahụ ma ọ bụghị site na iwu.
  5. Nchekwa data: Ebe nchekwa data nke Occentus Networks (EU) kwadoro
  6. Ikike: Oge obula inwere ike igbachi, weghachite ma hichapụ ihe omuma gi.