ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ಆಶ್ಚರ್ಯಕರವಾದ ಸರಳ ವಿಧಾನವನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದ್ದು ಅದು ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಅವಲಂಬನೆಗಳನ್ನು ಆಕ್ರಮಣ ಮಾಡಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ ಆಂತರಿಕ ಪ್ಯಾಕೇಜ್ ರೆಪೊಸಿಟರಿಗಳನ್ನು ಬಳಸಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗಿದೆ. ಸಮಸ್ಯೆಯನ್ನು ಗುರುತಿಸಿದ ಸಂಶೋಧಕರು ಅವರು ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಸಾಧ್ಯವಾಯಿತು ಪೇಪಾಲ್, ಮೈಕ್ರೋಸಾಫ್ಟ್, ಆಪಲ್, ನೆಟ್ಫ್ಲಿಕ್ಸ್, ಉಬರ್, ಟೆಸ್ಲಾ, ಮತ್ತು ಶಾಪಿಫೈ ಸೇರಿದಂತೆ 35 ಕಂಪನಿಗಳ ಆಂತರಿಕ ಸರ್ವರ್ಗಳಲ್ಲಿ.
ಆಕ್ರಮಣಕಾರಿ ಕಂಪನಿಗಳ ಸಮನ್ವಯದೊಂದಿಗೆ ಬಗ್ ಬೌಂಟಿ ಕಾರ್ಯಕ್ರಮಗಳ ಭಾಗವಾಗಿ ಈ ಭಿನ್ನತೆಗಳನ್ನು ನಡೆಸಲಾಯಿತು, ಮತ್ತು ದುಷ್ಕರ್ಮಿಗಳು ಈಗಾಗಲೇ ದೋಷಗಳನ್ನು ಗುರುತಿಸಲು ಬೋನಸ್ಗಳಲ್ಲಿ, 130.000 XNUMX ಪಡೆದಿದ್ದಾರೆ.
ವಿಧಾನವು ಅದನ್ನು ಆಧರಿಸಿದೆ ಅನೇಕ ಕಂಪನಿಗಳು ತಮ್ಮ ಆಂತರಿಕ ಅನ್ವಯಗಳಲ್ಲಿ NPM, PyPI ಮತ್ತು RubyGems ನ ಪ್ರಮಾಣಿತ ಭಂಡಾರ ಅವಲಂಬನೆಗಳನ್ನು ಬಳಸುತ್ತವೆ, ಹಾಗೆಯೇ ತಮ್ಮ ಸ್ವಂತ ಭಂಡಾರಗಳಿಂದ ಸಾರ್ವಜನಿಕವಾಗಿ ವಿತರಿಸದ ಅಥವಾ ಡೌನ್ಲೋಡ್ ಮಾಡದ ಆಂತರಿಕ ಅವಲಂಬನೆಗಳು.
ಪ್ಯಾಕೇಜ್ ವ್ಯವಸ್ಥಾಪಕರು ಸಮಸ್ಯೆ npm, ಪಿಪ್ ಮತ್ತು ರತ್ನದಂತೆ ಅವರು ಕಂಪನಿಗಳ ಆಂತರಿಕ ಅವಲಂಬನೆಗಳನ್ನು ಸಾರ್ವಜನಿಕ ಭಂಡಾರಗಳಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ. ದಾಳಿಗೆ, ಆಂತರಿಕ ಅವಲಂಬನೆಗಳೊಂದಿಗೆ ಪ್ಯಾಕೇಜ್ಗಳ ಹೆಸರುಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಿ ಮತ್ತು ಅದೇ ಹೆಸರಿನೊಂದಿಗೆ ನಿಮ್ಮ ಸ್ವಂತ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ರಚಿಸಿ NPM, PyPI ಮತ್ತು RubyGems ನ ಸಾರ್ವಜನಿಕ ಭಂಡಾರಗಳಲ್ಲಿ.
ಈ ಸಮಸ್ಯೆ ಎನ್ಪಿಎಂ, ಪಿಪಿಐ ಮತ್ತು ರೂಬಿಜೆಮ್ಗಳಿಗೆ ನಿರ್ದಿಷ್ಟವಾಗಿಲ್ಲ, ಮತ್ತು ಇದು ಇತರ ವ್ಯವಸ್ಥೆಗಳಾದ ನುಜೆಟ್, ಮಾವೆನ್ ಮತ್ತು ನೂಲಿನಲ್ಲೂ ಸಹ ಪ್ರಕಟವಾಗುತ್ತದೆ.
GitHub ನಲ್ಲಿ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಕೋಡ್ನಲ್ಲಿ ಸಂಶೋಧಕರು ಆಕಸ್ಮಿಕವಾಗಿ ಗಮನಿಸಿದ ನಂತರ ಪ್ರಸ್ತಾವಿತ ವಿಧಾನದ ಕಲ್ಪನೆ ಬಂದಿದೆ. ಅನೇಕ ಕಂಪನಿಗಳು ತಮ್ಮ ಮ್ಯಾನಿಫೆಸ್ಟ್ ಫೈಲ್ಗಳಿಂದ ಹೆಚ್ಚುವರಿ ಅವಲಂಬನೆಗಳ ಉಲ್ಲೇಖವನ್ನು ತೆಗೆದುಹಾಕುವುದಿಲ್ಲ ಆಂತರಿಕ ಯೋಜನೆಗಳಲ್ಲಿ ಅಥವಾ ವಿಸ್ತೃತ ಕಾರ್ಯಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವಾಗ ಬಳಸಲಾಗುತ್ತದೆ. ವೆಬ್ ಸೇವೆಗಳಿಗಾಗಿ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ನಲ್ಲಿ ಹಾಗೂ ಅನೇಕ ಕಂಪನಿಗಳ ನೋಡ್.ಜೆಎಸ್, ಪೈಥಾನ್ ಮತ್ತು ರೂಬಿ ಯೋಜನೆಗಳಲ್ಲಿ ಇದೇ ರೀತಿಯ ಕುರುಹುಗಳು ಕಂಡುಬಂದಿವೆ.
ಮುಖ್ಯ ಸೋರಿಕೆಯು ವಿಷಯ ಎಂಬೆಡಿಂಗ್ಗೆ ಸಂಬಂಧಿಸಿದೆ ನಿರ್ಮಾಣ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ನಲ್ಲಿರುವ ಪ್ಯಾಕೇಜ್.ಜೆಸನ್ ಫೈಲ್ಗಳಿಂದ, ಹಾಗೆಯೇ ಅಗತ್ಯವಿರುವ () ಕರೆಗಳಲ್ಲಿ ನಿಜವಾದ ಮಾರ್ಗ ಅಂಶಗಳ ಬಳಕೆಯೊಂದಿಗೆ, ಅವಲಂಬನೆ ಹೆಸರುಗಳನ್ನು ನಿರ್ಣಯಿಸಲು ಇದನ್ನು ಬಳಸಬಹುದು.
ಹಲವಾರು ಮಿಲಿಯನ್ ಕಾರ್ಪೊರೇಟ್ ಡೊಮೇನ್ಗಳ ಸ್ಕ್ಯಾನಿಂಗ್ ಹಲವಾರು ಸಾವಿರ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಿತು ಅವು ಎನ್ಪಿಎಂ ಭಂಡಾರದಲ್ಲಿ ಇರಲಿಲ್ಲ. ಆಂತರಿಕ ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಸಂಗ್ರಹಿಸಿದ ನಂತರ, ಬಗ್ ಬೌಂಟಿ ಕಾರ್ಯಕ್ರಮಗಳಲ್ಲಿ ಭಾಗವಹಿಸುವ ಕಂಪನಿಗಳ ಮೂಲಸೌಕರ್ಯಗಳನ್ನು ಹ್ಯಾಕ್ ಮಾಡಲು ಪ್ರಯೋಗವನ್ನು ನಡೆಸಲು ಸಂಶೋಧಕರು ನಿರ್ಧರಿಸಿದ್ದಾರೆ. ಫಲಿತಾಂಶಗಳು ಆಶ್ಚರ್ಯಕರವಾಗಿ ಪರಿಣಾಮಕಾರಿಯಾಗಿವೆ ಮತ್ತು ನಿರಂತರ ಏಕೀಕರಣ ವ್ಯವಸ್ಥೆಗಳ ಆಧಾರದ ಮೇಲೆ ಕಟ್ಟಡ ಅಥವಾ ಪರೀಕ್ಷೆಯ ಜವಾಬ್ದಾರಿಯುತ ಅನೇಕ ಅಭಿವೃದ್ಧಿ ಕಂಪ್ಯೂಟರ್ಗಳು ಮತ್ತು ಸರ್ವರ್ಗಳಲ್ಲಿ ಸಂಶೋಧಕನು ತನ್ನ ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಸಾಧ್ಯವಾಯಿತು.
ಅವಲಂಬನೆಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುವಾಗ, ಪ್ಯಾಕೇಜ್ ವ್ಯವಸ್ಥಾಪಕರು ಮುಖ್ಯವಾಗಿ ಪ್ರಾಥಮಿಕ ಸಾರ್ವಜನಿಕ ಭಂಡಾರಗಳಾದ ಎನ್ಪಿಎಂ, ಪಿಪಿಐ ಮತ್ತು ರೂಬಿಜೆಮ್ಸ್ನಿಂದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಿದರು, ಇವುಗಳನ್ನು ಹೆಚ್ಚಿನ ಆದ್ಯತೆಯೆಂದು ಪರಿಗಣಿಸಲಾಗಿದೆ.
ಖಾಸಗಿ ಕಂಪನಿಗಳ ಭಂಡಾರಗಳಲ್ಲಿ ಒಂದೇ ಹೆಸರಿನ ಪ್ಯಾಕೇಜ್ಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ಯಾವುದೇ ಎಚ್ಚರಿಕೆಗಳನ್ನು ತೋರಿಸದೆ ಅಥವಾ ಕ್ರ್ಯಾಶ್ಗಳಿಗೆ ಕಾರಣವಾಗದಂತೆ ನಿರ್ಲಕ್ಷಿಸಲಾಗಿದೆ ಅದು ನಿರ್ವಾಹಕರ ಗಮನವನ್ನು ಸೆಳೆಯಬಲ್ಲದು. ಪಿಪಿಐನಲ್ಲಿ, ಡೌನ್ಲೋಡ್ ಆದ್ಯತೆಯು ಆವೃತ್ತಿ ಸಂಖ್ಯೆಯಿಂದ ಪ್ರಭಾವಿತವಾಗಿರುತ್ತದೆ (ಭಂಡಾರವನ್ನು ಲೆಕ್ಕಿಸದೆ, ಪ್ಯಾಕೇಜಿನ ಇತ್ತೀಚಿನ ಆವೃತ್ತಿಯನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ). ಎನ್ಪಿಎಂ ಮತ್ತು ರೂಬಿಜೆಮ್ಸ್ನಲ್ಲಿ, ಆದ್ಯತೆಯು ಭಂಡಾರವನ್ನು ಮಾತ್ರ ಅವಲಂಬಿಸಿದೆ.
ಸಂಶೋಧಕರು ಎನ್ಪಿಎಂ, ಪಿಪಿಐ ಮತ್ತು ರೂಬಿಜೆಮ್ಸ್ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಇರಿಸಿದ್ದಾರೆ, ಅದು ಕಂಡುಬರುವ ಆಂತರಿಕ ಅವಲಂಬನೆಗಳ ಹೆಸರಿನೊಂದಿಗೆ ect ೇದಿಸುತ್ತದೆ, ಸಿಸ್ಟಮ್ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ಮತ್ತು ಮಾಹಿತಿಯನ್ನು ಸಲ್ಲಿಸಲು ಅನುಸ್ಥಾಪನೆಗೆ ಮೊದಲು (ಎನ್ಪಿಎಂನಲ್ಲಿ ಮೊದಲೇ ಸ್ಥಾಪಿಸಲಾಗಿದೆ) ಚಲಿಸುವ ಸ್ಕ್ರಿಪ್ಟ್ಗೆ ಕೋಡ್ ಅನ್ನು ಸೇರಿಸುತ್ತದೆ. ಬಾಹ್ಯ ಹೋಸ್ಟ್ಗೆ ಸ್ವೀಕರಿಸಲಾಗಿದೆ.
ಹ್ಯಾಕ್ನ ಯಶಸ್ಸಿನ ಬಗ್ಗೆ ಮಾಹಿತಿ ನೀಡಲು, ಬಾಹ್ಯ ಸಂಚಾರವನ್ನು ನಿರ್ಬಂಧಿಸುವ ಬೈಪಾಸ್ ಫೈರ್ವಾಲ್ಗಳು, ಡಿಎನ್ಎಸ್ ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ ರಹಸ್ಯ ಚಾನಲ್ ಸಂವಹನಗಳನ್ನು ಆಯೋಜಿಸುವ ವಿಧಾನ. ಚಾಲನೆಯಲ್ಲಿರುವ ಕೋಡ್ ಆಕ್ರಮಣಕಾರಿ ಡೊಮೇನ್ನ ನಿಯಂತ್ರಣದಲ್ಲಿರುವ ಆಕ್ರಮಣಕಾರಿ ಡೊಮೇನ್ನಲ್ಲಿನ ಹೋಸ್ಟ್ ಅನ್ನು ಪರಿಹರಿಸಿದೆ, ಇದು ಡಿಎನ್ಎಸ್ ಸರ್ವರ್ನಲ್ಲಿ ಯಶಸ್ವಿ ಕಾರ್ಯಾಚರಣೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಂಗ್ರಹಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು. ಹೋಸ್ಟ್, ಬಳಕೆದಾರಹೆಸರು ಮತ್ತು ಪ್ರಸ್ತುತ ಮಾರ್ಗದ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ರವಾನಿಸಲಾಗಿದೆ.
ರೆಕಾರ್ಡ್ ಮಾಡಲಾದ ಎಲ್ಲಾ ಕೋಡ್ ಮರಣದಂಡನೆಗಳಲ್ಲಿ 75% ಎನ್ಪಿಎಂ ಪ್ಯಾಕೇಜ್ ಡೌನ್ಲೋಡ್ಗಳೊಂದಿಗೆ ಸಂಬಂಧಿಸಿದೆ, ಮುಖ್ಯವಾಗಿ ಪೈಥಾನ್ ಮತ್ತು ರೂಬಿ ಅವಲಂಬನೆ ಹೆಸರುಗಳಿಗಿಂತ ಹೆಚ್ಚು ಆಂತರಿಕ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಮಾಡ್ಯೂಲ್ ಹೆಸರುಗಳು ಇದ್ದವು.
ಮೂಲ: https://medium.com/