Bakhaarka PyPI waxaa ku jira koodh suurta gal ah oo aan sugnayn

Darkcrizt

Daqiiqado 4

Baarayaasha Jaamacadda Turku (Finland) la ogeysiiyey dhawaan natiijooyinka falanqaynta waxay ku sameeyeen baakadaha ku jira bakhaarka by PyPI si loo adeegsado dhismayaasha halista ah ee dhalin kara baylahda. Falanqaynta in ilaa 197.000 oo xirmo ah ayaa la fuliyay waxaana la aqoonsaday 749.000 oo dhibaatooyin ammaan ah.

Si kale haddii loo dhigo, 46% baakadaha ayaa leh ugu yaraan mid ka mid ah dhibaatooyinkan, kuwaas oo ka mid ah dhibaatooyinka ugu badan ay yihiin kuwa la xiriira maareynta waxyaabaha ka reeban iyo adeegsiga awoodaha beddelka koodhka.

749 kun ee dhibaatooyinka la aqoonsaday, 442 kun (41%) ayaa loo calaamadeeyay inay yihiin qaangaar, 227 kun (30%) sida dhexdhexaadka ah ee halista ah iyo 80 kun (11%) oo khatar ah.

Xog -ururintu waxay ku salaysan tahay sawir dhammaan baakadaha ku kaydsan Tusaha Xidhmada Python (PyPI) ...

Marka la eego noocyada dhibaatooyinka, sida maaraynta ka -reebista iyo duritaanka koodh kala duwan ayaa ah dhibaatooyinka ugu badan. Dareenkan, moduleka dunta ayaa taagan. Marka la milicsado cabbirka baakadaha yar yar, cabbirrada cabbirka softiweerka si fiican uma saadaaliyaan tirada arrimaha lagu soo bandhigay falanqaynta. 

Baakadaha qaarkood waa kuwo aan caadi ahayn oo waxaa ku jira kumanaan dhibaatooyin ah: Tusaale ahaan, 2589 dhibaato ayaa laga helay baakadda PyGGI, oo inta badan la xiriirta adeegsiga dhismaha “try-except-pass”, iyo 2356 dhibaato ayaa laga helay xirmada appengine-sdk. Waxa kale oo jira dhibaatooyin badan oo ku jira baakadaha genie.libs.ops, pbcore, iyo genie.libs.parser.

Waa in la ogaadaa in natiijooyinka la helay iyada oo lagu saleynayo falanqayn ma guurto ah oo otomaatig ah, taas oo aan tixgelin siin macnaha guud ee adeegsiga dhismayaasha qaarkood.

Soo -saaraha Bandit, oo loo adeegsaday in lagu baaro koodhka, ayaa soo jeediyay taas oo ay ugu wacan tahay tirooyinka been abuurka badan, lnatiijooyinka iskaanka looma tixgelin karo nuglaansho si toos ah iyada oo aan dib -u -eegis buug -gacmeed oo dheeri ah lagu samaynayn dhibaato kasta.

Tusaale ahaan, ka -fiiriyuhu wuxuu u tixgeliyaa adeegsiga koronto -dhaliyayaal tiro aan kala -sooc lahayn iyo algorithms -ka hashing -ka ah sida MD5 oo ah dhibaato amni, halka koodh -ka algorithms -ka loo adeegsan karo ujeeddooyin aan amniga wax u dhimayn.

Falanqeeyaha ayaa sidoo kale tixgelinaya in wax kasta oo ka shaqeynta xogta dibadda ah hawlo aan ammaan ahayn sida qajaar, yaml.load, hoosaad iyo eval waa dhibaato, laakiin isticmaalkani khasab ma aha inuu la xiriiro nuglaanta iyo, dhab ahaantii, adeegsiga shaqooyinkan waxay noqon kartaa dhibaato la hirgeliyo iyadoo aan khatar ku ahayn amniga.

Waxaa ka mid ah kontaroolada loo adeegsaday daraasadda:

  • Adeegsiga hawlgallada suurtagalka ah ee aan aaminka ahayn, mktemp, eval, mark_safe, iwm.
  • Qaabaynta aan sugnayn ee xuquuqda helitaanka faylka.
  • Ku xir fiilada shabakadda dhammaan shabakadaha shabakadda.
  • Isticmaalka furayaasha sirta ah iyo furayaasha sirta ah.
  • Isticmaalka tusaha ku meel gaarka ah ee horay loo sii qeexay.
  • Isticmaalka kaarka oo ku sii wad qabtayaasha dhammaan-qaabeeyayaasha ka reeban.
  • Daahfurka codsiyada shabakadda ee ku saleysan qaab -dhismeedka shabakadda Flask oo leh hab -ka -beddelka karti leh.
  • Isticmaalka hababka aan ammaan ahayn si loo haleelo xogta.
  • Adeegsiga MD2, MD4, MD5 iyo SHA1 hawlaha hash.
  • Isticmaalka ciphers -ka DES oo aan ammaan ahayn iyo hababka sirta.
  • Iyada oo la adeegsanayo hirgelinta isku -xirnaanta HTTPS ee aan la isku halleyn karin noocyada Python qaarkood.
  • Cadeynta feylka: // schema ee urlopen.
  • Adeegso koronto-dhaliyayaal tirooyin khayaali ah marka aad qabanayso hawlaha qarsoodiga ah.
  • Adeegsiga borotokoolka Telnet.
  • Adeegsiga kala -soocayaasha XML oo aan ammaan ahayn.

Intaa waxaa sii dheer, ogaanshaha 8 baakado xaasidnimo ah oo ku jira tusaha PyPI ayaa la sheegay. Xirmooyinka dhibka leh ayaa la soo dejiyay in ka badan 30 jeer kahor intaan la saarin. Si aan u qarinno falalka xaasidnimada ah oo aan uga fogaanno digniino aan caadi ahayn oo ku saabsan baakadaha, waxaan adeegsannay koodh -koodh koodh leh anagoo adeegsanayna qaabka Base64 waxaanna diyaarinay fulintiisa ka dib markii aan qeexnay annagoo wacaya eval.

Koodhka laga helay noblesse, genesisbot, waa, suff, noblesse2 iyo noblessev2 baakadaha si loo dhexgalo lambarada kaarka deynta iyo furaha sirta ah ee lagu keydiyo biraawsarka Chrome iyo Edge, iyo sidoo kale wareejinta astaamaha koontada ee barnaamijka Discord oo soo dir xogta nidaamka, oo ay ku jiraan shaashadaha ee shaashadda. … Baakadaha pytagora iyo pytagora2 waxaa ka mid ahaa awoodda lagu soo dejisan karo oo lagu socodsiin karo koodh la fulin karo oo dhinac saddexaad ah.

Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato, waad hubin kartaa faahfaahinta Xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.