Weerarka ku tiirsanaanta wuxuu u oggolaanayaa fulinta koodhka PayPal, Microsoft, Apple, Netflix, Uber iyo 30 shirkado kale

Darkcrizt

Daqiiqado 4

Maalmo ka hor hab la yaab leh oo fudud ayaa la sii daayay oo u oggolaanaya weerarka ku tiirsanaanta codsiyada kuwaas oo lagu horumariyo iyadoo la adeegsanayo keydadka xirmooyinka gudaha. Baarayaasha aqoonsaday dhibaatada waxay awoodeen inay socodsiiyaan lambarkaaga on server-yada gudaha ee shirkadaha 35, oo ay ku jiraan PayPal, Microsoft, Apple, Netflix, Uber, Tesla, iyo Shopify.

Jabsashada waxaa loo fuliyay qeyb ka mid ah barnaamijyada Bug Bounty, iyadoo lala kaashanayo shirkadaha la weeraray, dambiilayaashana waxay durbaba heleen $ 130.000 oo gunno ah oo lagu aqoonsanayo dayacaadka.

Habka wuxuu ku saleysan yahay xaqiiqda ah in shirkado badan ayaa adeegsada ku-tiirsanaanta kaydka NPM, PyPI iyo RubyGems barnaamijyadooda gudaha, iyo sidoo kale ku-tiirsanaanta gudaha ee aan si guud loo qaybin ama looga soo dejin bakhaarradooda.

Dhibaatadu waxay tahay maareeyayaasha xirmooyinka sida npm, pip iyo jawharad waxay isku dayaan inay kala soo baxaan waxyaabaha ay ku tiirsan yihiin shirkadaha, xitaa meelaha ay ka keydsan yihiin dadweynaha. Weerar ahaan, kaliya ku qeex magacyada xirmooyinka iskuduwaha gudaha kuna abuuro baakado kuu gaar ah isla magacyo isku mid ah keydadka dadweynaha ee NPM, PyPI iyo RubyGems.

Dhibaatadu kuma koobna NPM, PyPI, iyo RubyGems, waxayna sidoo kale muujineysaa nidaamyo kale sida NuGet, Maven, iyo Yarn.

Fikradda habka la soo jeediyey waxay timid ka dib markii cilmi-baare uu shil ku ogaaday in koodhka dadweynaha ee la heli karo ee lagu dhejiyay GitHub, shirkado badan kama saaraan sheegitaanka ku-tiirsanaanta dheeraadka ah faylalka ay ka muuqdaan loo adeegsaday mashaariicda gudaha ama marka la fulinayo howlo dheeri ah. Raadad lamid ah ayaa laga helay lambarka JavaScript ee loogu talagalay adeegyada websaydhka, iyo sidoo kale mashaariicda Node.JS, Python, iyo Ruby ee shirkado badan.

Daadadka ugu waaweyn waxay la xiriireen gundhigga waxyaabaha ku jira laga soo qaado faylasha package.json ee ku jira koodhka JavaScript ee si guud loo heli karo inta lagu gudajiro hawsha dhismaha, iyo sidoo kale iyadoo la adeegsanayo walxaha dhabbada dhabta ah ee u baahan wicitaanada () wicitaanada, kuwaas oo loo isticmaali karo in lagu xukumo magacyada ku tiirsanaanta.

Tijaabinta dhowr milyan oo shirkado shirkadeed ah ayaa shaaca ka qaaday dhowr kun oo magacyada xirmada JavaScript kuwaas oo aan ku jirin keydka NPM. Markuu ururiyey xog ururin magacyada xirmada gudaha ah, cilmibaaraha wuxuu go'aansaday inuu sameeyo tijaabo lagu jabsanayo kaabayaasha shirkadaha kaqeyb galaya barnaamijyada Xanuunada Xun. Natiijooyinka waxay ahaayeen kuwo si la yaab leh waxtar u leh cilmi-baarehuna wuxuu awooday inuu koodhkiisa ku maamulo kombiyuutaro badan oo horumarineed iyo server-yo masuul ka ah dhismaha ama tijaabinta ku saleysan nidaamyada isdhexgalka joogtada ah.

Markaad soo dejineysid ku-tiirsanaanta, maareeyayaasha xirmooyinka npm, pip, iyo jawharad badanaa waxay ku rakibnaayeen xirmooyin ka yimid bakhaarrada aasaasiga ah ee dadweynaha NPM, PyPI, iyo RubyGems, kuwaas oo loo tixgeliyey mudnaan sare.

Jiritaanka baakado isku mid ah oo isla magacyo ku leh bakhaarrada shirkadaha gaarka loo leeyahay ayaa la iska indhatiray iyada oo aan la tusin wax digniin ah ama aan keenin shilal taasi oo soo jiidan karta dareenka maamulayaasha. PyPI, mudnaanta soo dejinta waxaa saameyn ku yeeshay nambarka nooca (iyadoon loo eegin keydka, nooca ugu dambeeyay ee xirmada ayaa la soo dejiyey). NPM iyo RubyGems, mudnaanta ayaa kaliya ku tiirsanayd keydinta.

Cilmi-baaraha ayaa xirmooyinka ku meeleeyay bakhaarrada NPM, PyPI, iyo RubyGems kuwaas oo isku xiraya magacyada ku-tiirsanaanta gudaha laga helay, iyagoo ku daraya koodh qoraal ah oo soconaya ka hor inta aan la rakibin (horay loogu sii rakibay NPM) si loo ururiyo macluumaadka ku saabsan nidaamka loona gudbiyo macluumaadka helay martigaliyaha dibadda.

Si aad u gudbiso macluumaadka ku saabsan guusha jabsiga, iskabax dab-damisyada xannibaya taraafikada dibadda, habka loo abaabulo isgaarsiinta kanaalka qarsoodiga ah ee borotokoolka DNS. Koodhkii shaqeynayay ayaa xaliyay martida loo yaqaan 'domain weerarka' ee hoos yimaada xukunka weerarka, taas oo suurtagelisay in lagu soo ururiyo macluumaadka ku saabsan hawlgallada guuleysta ee server-ka DNS. Macluumaadka ku saabsan martigeliyaha, magaca isticmaalaha iyo dariiqa hadda la marayo ayaa la maray.

75% dhammaan dilalka koodhka la duubay waxay la xiriireen soo dejinta xirmada NPM, ugu horreyntii waxaa ugu wacan xaqiiqda ah inay jiraan magacyo module JavaScript gudaha ka badan oo ka badan magacyada ku tiirsanaanta Python iyo Ruby.

source: https://medium.com/


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.