PyPI ריפּאַזאַטאָרי כּולל פּאַטענשאַלי ינסאַקיער קאָד

פאָרשער פון דעם אוניווערסיטעט פון טורקו (פינלאנד) געמאכט באקאנט לעצטנס די רעזולטאַטן פון אַן אַנאַליסיס זיי האָבן דורכגעקאָכט די פּאַקידזשיז אין די ריפּאַזאַטאָרי דורך PyPI פֿאַר די נוצן פון פּאַטענשאַלי געפערלעך קאַנסטראַקשאַנז וואָס קען דזשענערייט וואַלנעראַביליטיז. אין די אַנאַליסיס אַז ארום 197.000 פעקלעך זענען דורכגעפירט געווארן און 749.000 מעגליכע זיכערהייט פראבלעמען זענען אידענטיפיצירט געווארן.

דאָס איז, 46% פון פּאַקידזשיז האָבן לפּחות איין פון די פּראָבלעמס, פון וואָס צווישן די מערסט פּראָסט פּראָבלעמס זענען די שייַכות צו ויסנעם האַנדלינג און די נוצן פון קאָד סאַבסטיטושאַן קייפּאַבילאַטיז.

פון די 749 טויזנט יידענאַפייד פּראָבלעמס, 442 טויזנט (41%) זענען אנגעצייכנט ווי מיינערז, 227 טויזנט (30%) ווי מאַדעראַטלי געפערלעך און 80 טויזנט (11%) ווי געפערלעך.

די דאַטאַסעט איז באזירט אויף אַ מאָמענטבילד פון אַלע פּאַקידזשיז סטאָרד אין די פּיטהאָן פּאַקקאַגע ינדעקס (פּיפּי) ...

אין טערמינען פון די טייפּס פון פּראָבלעמס, אַזאַ ווי ויסנעם האַנדלינג און פאַרשידענע קאָד ינדזשעקשאַנז האָבן שוין די מערסט פּראָסט פּראָבלעמס. אין דעם זינען, די פֿעדעם מאָדולע שטייט אויס. לויט די אַלגעמיינע קליין פּאַקאַט סיזעס, ווייכווארג גרייס מעטריקס טאָן ניט פאָרויסזאָגן די נומער פון ישוז גילוי דורך אַנאַליסיס. 

עטלעכע פּאַקאַדזשאַז זענען ומגעוויינטלעך און אַנטהאַלטן טויזנטער פון פּראָבלעמס: צום ביישפּיל, 2589 פּראָבלעמס זענען געפֿונען אין די PyGGI פּעקל, דער הויפּט שייך צו די נוצן פון די "פּרובירן-אַחוץ-פאָרן" בויען, און 2356 פּראָבלעמס זענען געפֿונען אין די אַפּענגינע-סדק פּעקל. אין די פּאַקאַדזשאַז genie.libs.ops, pbcore און genie.libs.parser, עס זענען אויך פילע פּראָבלעמס.

עס זאָל זיין אנגעוויזן אַז די רעזולטאַטן זענען באקומען אויף דער באזע פון ​​אַ אָטאַמייטיד סטאַטיק אַנאַליסיס, וואָס טוט נישט נעמען אין חשבון די קאָנטעקסט פון די אַפּלאַקיישאַן פון זיכער סטראַקטשערז.

דער באַנדיט דעוועלאָפּער, וואָס איז גענוצט צו יבערקוקן דעם קאָד, סאַגדזשעסטיד אַז רעכט צו דער גרויס נומער פון פאַלש פּאַזאַטיווז, ליבערקוקן רעזולטאַטן קענען ניט זיין גערעכנט ווי וואַלנעראַביליטיז גלייך אָן אַן נאָך מאַנואַל אָפּשאַצונג פון יעדער פּראָבלעם.

צום ביישפּיל, דער פּאַרסער באַטראַכטן די נוצן פון אַנרילייאַבאַל טראַפ - נומער גענעראַטאָרס און כאַשינג אַלגערידאַמז אַזאַ ווי MD5 ווי אַ זיכערהייט דייַגע, כוועראַז אין קאָד אַזאַ אַלגערידאַמז קענען זיין געוויינט פֿאַר צוועקן וואָס טאָן ניט ווירקן זיכערהייט.

דער אַנאַליזער אויך באַטראַכטן אַז פונדרויסנדיק דאַטן פּראַסעסינג אין אַנסייף פאַנגקשאַנז ווי זויערע וגערקע, יאַמל.לאָאַד, סאַבפּראָסעס און עוואַל ס'איז א פראבלעם, אָבער די נוצן איז ניט דאַווקע פארבונדן מיט אַ וואַלנעראַביליטי, און אין פאַקט, די נוצן פון די פאַנגקשאַנז קען זיין אַ פּראָבלעם ימפּלאַמענאַד אָן אַ סאַקאָנע צו זיכערהייט.

צווישן די קאָנטראָלס געניצט אין דעם לערנען:

  • די נוצן פון פּאַטענשאַלי אַנסייף פאַנגקשאַנז exec, mktemp, eval, mark_safe, עטק.
  • ינסאַקיער קאַנפיגיעריישאַן פון טעקע אַקסעס רעכט.
  • פאַרבינדן אַ נעץ צאַפּן צו אַלע נעץ ינטערפייסיז.
  • ניצן פּאַסווערדז און ינקריפּטיד שליסלען.
  • ניצן אַ פּרעדעפינעד צייַטווייַליק וועגווייַזער.
  • ניצן פאָרן און פאָרזעצן אין כאַפּן-אַלע-נוסח ויסנעם האַנדלערס.
  • קאַטער וועב אַפּלאַקיישאַנז באזירט אויף די פלאַסק וועב פריימווערק מיט דיבאַגינג מאָדע ענייבאַלד.
  • ניצן ינסאַקיער מעטהאָדס צו דעסעריאַליזע דאַטן.
  • ניצן האַש פאַנגקשאַנז MD2, MD4, MD5 און SHA1.
  • די נוצן פון ינסאַקיער DES סיפערז און ענקריפּשאַן מאָדעס.
  • ניצן אַ ינסאַקיער ימפּלאַמענטיישאַן פון HTTPS קאַנעקשאַן אין עטלעכע ווערסיעס פון פּיטהאָן.
  • ספּעציפיצירן די טעקע: // סטשעמאַ אין URLלאָפּען.
  • ניצן קריפּטאָגראַפיק טאַסקס ניצן פּסעוודאָ-טראַפ-נומער גענעראַטאָרס.
  • ניצן די Telnet פּראָטאָקאָל.
  • ניצן ומזיכער קסמל פּאַרסערס.

אַדדיטיאָנאַללי, דיטעקשאַן פון 8 בייזע פּאַקידזשיז אין די PyPI וועגווייַזער איז דערמאנט. פּראָבלעם פּאַקידזשיז זענען דאַונלאָודיד מער ווי 30 מאָל איידער זיי זענען אַוועקגענומען. כּדי צו באַהאַלטן בייזע אַקטיוויטעטן און ויסמיידן פּשוט סטאַטיק פּאַרסער וואָרנינגז אויף פּאַקידזשיז, מיר געוויינט בלאָק קאָדירונג מיט קאָד ניצן די באַסע 64 פֿאָרמאַט און סטיידזשד זיין דורכפירונג נאָך דיקאָודינג דורך רופן עוואַל.

די קאָד געפֿונען אין די noblesse, genesisbot, זענען, סופ, noblesse2 און noblessev2 פּאַקידזשיז צו ינטערסעפּט קרעדיט קאַרטל נומערן און פּאַסווערדז סטאָרד אין קראָום און עדזש בראַוזערז, ווי געזונט ווי אַריבערפירן אַקאַונץ פון די דיסקאָרד אַפּלאַקיישאַן און שיקן דאַטן פון די סיסטעם, אַרייַנגערעכנט סקרעענשאָץ פון פאַרשטעלן צופרידן. … די פּאַקאַדזשאַז pytagora און pytagora2 אַרייַנגערעכנט די פיייקייט צו אָפּלאָדירן און לויפן עקסעקוטאַבלע קאָד פון דריט פּאַרטיי.

לעסאָף אויב איר זענט אינטערעסירט צו וויסן מער וועגן אים, איר קענען קאָנטראָלירן די דעטאַילס אין די ווייַטערדיק לינק.


דער אינהאַלט פון דעם אַרטיקל אַדכיר צו אונדזער פּרינציפּן פון לייט עטיקס. צו מעלדונג אַ טעות גיט דאָ.

זייט דער ערשטער צו באַמערקן

לאָזן דיין באַמערקונג

אייער בליצפּאָסט אַדרעס וועט נישט זייַן ארויס. Required fields זענען אנגעצייכנט מיט *

*

*

  1. פאַראַנטוואָרטלעך פֿאַר די דאַטן: Miguel Ángel Gatón
  2. ציל פון די דאַטן: קאָנטראָל ספּאַם, קאָמענטאַר פאַרוואַלטונג.
  3. לעגיטימאַטיאָן: דיין צושטימען
  4. קאָמוניקאַציע פון ​​די דאַטן: די דאַטן וועט נישט זיין קאַמיונאַקייטיד צו דריט פּאַרטיעס אַחוץ דורך לעגאַל פליכט.
  5. דאַטן סטאָרידזש: דאַטאַבייס כאָוסטיד דורך Occentus Networks (EU)
  6. רעכט: צו קיין צייט איר קענט באַגרענעצן, צוריקקריגן און ויסמעקן דיין אינפֿאָרמאַציע.