Tlhaselo ea ts'epahalo e lumella ho sebelisoa ha khoutu ho PayPal, Microsoft, Apple, Netflix, Uber le lik'hamphani tse ling tse 30

Matsatsi a seng makae a fetileng mokhoa o makatsang o bonolo o ile oa lokolloa o lumellang ho hlasela ho itšetleha ka lits'ebetso tse ntlafalitsoeng ho sebelisoa pokello ea liphutheloana tsa kahare. Bafuputsi ba supileng bothata ba khonne ho tsamaisa khoutu ea hau ho li-server tsa kahare tsa lik'hamphani tse 35, ho kenyeletsoa PayPal, Microsoft, Apple, Netflix, Uber, Tesla, le Shopify.

Li-hacks li ile tsa etsoa joalo ka karolo ea mananeo a Bug Bounty, ka tšebelisano 'moho le lik'hamphani tse hlasetsoeng, mme baetsi ba molao ba se ba amohetse $ 130.000 ka libonase bakeng sa ho supa bofokoli.

Mokhoa o ipapisitse le taba ea hore lik'hamphani tse ngata li sebelisa maemo a tloaelehileng a polokelo ea NPM, PyPI le RubyGems lits'ebetsong tsa tsona tsa kahare, hammoho le litšepiso tsa kahare tse sa ajoeng phatlalatsa kapa tse jarollotsoeng libakeng tsa bona tsa polokelo.

Bothata ke hore batsamaisi ba liphutheloana joalo ka npm, pip le gem ba leka ho jarolla litšepiso tse ka hare tsa lik'hamphani, leha e le litsing tsa sechaba. Bakeng sa tlhaselo, hlalosa feela mabitso a liphutheloana tse nang le ts'ebeliso ea kahare 'me u iketsetse liphutheloana tse nang le mabitso a tšoanang litsing tsa sechaba tsa NPM, PyPI le RubyGems.

Bothata ha bo totobetse ho NPM, PyPI, le RubyGems, hape e iponahatsa ho litsamaiso tse ling tse kang NuGet, Maven le Yarn.

Mohopolo oa mokhoa o reriloeng o hlahile kamora hore ka phoso mofuputsi a hlokomele hore ka khoutu e fumanehang phatlalatsa e ngotsoeng ho GitHub, lik'hamphani tse ngata ha li tlose ho buuoa ka litlatsetso tse eketsehileng ho tsoa lifaeleng tsa tsona tse hlakileng e sebelisoa mererong ea kahare kapa ha e kenya tšebetsong mesebetsi e atolositsoeng. Ho fumanoe lits'oants'o tse tšoanang ho khoutu ea JavaScript bakeng sa lits'ebeletso tsa webo, le lik'hamphaning tse ngata tsa Node.JS, Python le Ruby.

Ho dutla ho hoholo ho ne ho amana le ho kenella ha litaba ho tsoa ho li-file tsa package.json ka har'a khoutu ea JavaScript e fumanehang phatlalatsa nakong ea moaho, hammoho le ts'ebeliso ea likarolo tsa 'nete tsa tsela ho require () mehala, e ka sebelisoang ho ahlola mabitso a batho ba itšetlehileng ka bona.

Ho lekola libaka tse limilione tse 'maloa tsa likhoebo ho senotse mabitso a likete tse likete tsa JavaScript tse neng li se polokelong ea NPM. Ha a se a hlophisitse pokello ea mabitso ea liphutheloana tsa ka hare, mofuputsi o ile a etsa qeto ea ho etsa liteko tsa ho qhekella lits'ebetso tsa lik'hamphani tse nkang karolo mananeong a Bug Bounty. Liphetho li ne li sebetsa ka mokhoa o makatsang mme mofuputsi o ile a khona ho tsamaisa khoutu ea hae ho likhomphutha tse ngata tsa nts'etsopele le li-server tse ikarabellang bakeng sa ho aha kapa ho etsa liteko ho ipapisitse le lits'ebetso tse tsoelang pele tsa kopanyo.

Ha u jarolla litšepiso, batsamaisi ba liphutheloana npm, pip le gem ba kentse liphutheloana haholo polokelong ea sechaba ea mantlha ea NPM, PyPI le RubyGems, tse nkoang e le tsa bohlokoa haholo.

Boteng ba liphutheloana tse ts'oanang tse nang le mabitso a tšoanang litsing tsa polokelo ea lik'hamphani tse ikemetseng li ile tsa hlokomolohuoa ntle le ho bontša litemoso kapa ho baka likotsi e ka hohelang tlhokomelo ea batsamaisi. Ho PyPI, bohlokoa ba ho jarolla bo ile ba susumetsoa ke nomoro ea mofuta (ho sa natsoe polokelo, mofuta oa morao-rao oa sephutheloana o ile oa jarollwa). Ho NPM le RubyGems, tse tlang pele e ne e le polokelo feela.

Mofuputsi o kentse liphutheloana lipolokelong tsa NPM, PyPI, le RubyGems tse hokahanang le mabitso a litšepiso tse kahare tse fumanoeng, a eketsa khoutu ho script e sebetsang pele ho ts'ebetso (e kentsoeng pele ho NPM) ho bokella tlhaiso-leseling ka sistimi le ho fana ka tlhaiso-leseling. amohetse moamoheli oa kantle.

Ho fetisa tlhaiso-leseling ka katleho ea qhekello, ho feta mabota a thibelang literata tse kantle, mokhoa oa ho hlophisa likhokahanyo tse patiloeng tsa kanale ka lebaka la protocol ea DNS. Khoutu e neng e sebetsa e ile ea rarolla moamoheli sebakeng se hlaselang tlasa taolo ea sebaka se hlaselang, se ileng sa nolofalletsa ho bokella tlhaiso-leseling ka ts'ebetso e atlehileng ho seva ea DNS. Tlhahisoleseling mabapi le moamoheli, lebitso la mosebelisi le tsela ea hajoale li fetisitsoe.

75% ea lipolao tsohle tse hatisitsoeng tsa khoutu li ne li amahanngoa le ho jarolleloa liphutheloana tsa NPM, haholo-holo ka lebaka la hore ho ne ho e-na le mabitso a mangata a ka hare ho JavaScript ho feta mabitso a batho ba itšetlehileng ka Python le Ruby.

Mohloli: https://medium.com/


Litaba tsa sengoloa sena li latela melao-motheo ea rona ea melao ea boitšoaro ea bongoli. Ho tlaleha phoso tlanya mona.

E-ba oa pele ho fana ka maikutlo

Siea maikutlo a hau

aterese ya hao ya imeile ke ke ho phatlalatswa.

*

*

  1. E ikarabella bakeng sa data: Miguel Ángel Gatón
  2. Morero oa data: Laola SPAM, tsamaiso ea maikutlo.
  3. Molao: Tumello ea hau
  4. Puisano ea data: Lintlha li ke ke tsa tsebisoa batho ba boraro ntle le ka tlamo ea molao.
  5. Polokelo ea data: Database e hapiloeng ke Occentus Networks (EU)
  6. Litokelo: Nako efe kapa efe o ka fokotsa, oa hlaphoheloa mme oa hlakola tlhaiso-leseling ea hau.