Суббота, 23.11.2024, 08:22
Приветствую Вас, Гость | RSS
Меню сайта
Статистика

Онлайн всего: 4
Гостей: 4
Пользователей: 0
Главная » 2016 » Июнь » 10
Опубликованы результаты эксперимента по использованию методов тайпсквоттинга для распространения вредоносного ПО в репозиториях модулей для языков программирования Python, Node.JS и Ruby. Метод основан на том, что популярные репозитории модулей для разработчиков позволяют любому желающему разместить свою библиотеку, не проверяя при этом её содержимое и допуская выполнение произвольного кода в момент установки. В том числе репозитории допускают загрузку библиотек, имена которых почти полностью совпадает с названием других популярных библиотек. Расчёт делается на то, что пользователь допустит опечатку при наборе имени или не заметит различий выбирая модуль из списка. Забегая вперёд можно сказать, что метод позволил получить контроль над более чем 17 тысячами хостов и на 8 тысячах систем выполнить код с правами администратора. Для оценки эффективности метода в репозиториях PyPI (Python), Npmjs.com (Node.js) и rubygems.org (Ruby) было размещено 214 подставных пакетов, имена для которых бы ... Читать дальше »
Просмотров: 191 | Добавил: muge | Дата: 10.06.2016 | Комментарии (0)

Форма входа
Поиск
Календарь