I whakaputaina e tetahi roopu kairangahau mai i te Whare Wananga o Turku (Finland) nga hua o te tātaritanga o nga kete i roto i te whare putunga PyPI mo te whakamahi i nga hangahanga kino pea ka puta ki nga whakaraeraetanga. I te wa o te tātaritanga o te 197 mano nga paanui, 749 mano nga raru haumaru pea i kitea. Ko te 46% o nga kohinga kei te kotahi pea te raru. I roto i nga raruraru tino noa ko nga ngoikoretanga e pa ana ki te whakahaere motuhake me te whakamahi i nga ahuatanga e taea ai te whakakapi waehere.
O nga raruraru 749 mano i tautuhia, 442 mano (41%) i tapaina he iti, 227 mano (30%) he raruraru ngawari me te 80 mano (11%) he kino. Ko etahi o nga kohinga ka tu mai i te marea me nga mano o nga raru: hei tauira, ko te putea PyGGI i tautuhi i nga raruraru 2589, ko te nuinga e pa ana ki te whakamahinga o te hanga "try-except-pass", me te putea appengine-sdk i kitea nga raruraru 2356. He nui ano nga raru kei roto i nga kohinga genie.libs.ops, pbcore me genie.libs.parser.
Me tohu ko nga hua i puta mai i runga i te taatai static aunoa, kaore e whai whakaaro ki te horopaki o te tono o etahi hanganga. Ko te kaiwhakawhanake o te kete taputapu kaipahua, i whakamahia ki te matawai i te waehere, i kii te whakaaro na te nui o nga hua pai teka, kaore e taea te whakaaro tika nga hua karapa he whakaraerae me te kore he arotake a-ringa mo ia take.
Hei tauira, ka whakaarohia e te kaitirotiro he raruraru haumarutanga te whakamahi i nga kaihanga tau matapōkere me te hashing algorithms, penei i te MD5, engari i roto i te waehere ka whakamahia pea enei momo algorithm mo nga kaupapa kaore e pa ki te haumarutanga. Ka whakaarohia hoki e te kaitirotiro tetahi tukatuka o nga raraunga o waho i roto i nga mahi kino penei i te pickle, yaml.load, subprocess me te eval he raruraru, engari kaore tenei whakamahinga e uru ki te whakaraerae me te mea ka taea te whakamahi i enei mahi kaore he riri haumaru. .
I roto i nga whakamatautau i whakamahia i roto i te ako:
- Ma te whakamahi i nga mahi e kore e taea te haumaru exec, mktemp, eval, mark_safe, etc.
- Tautuhinga haumaru mo nga mana uru mo nga konae.
- Te whakapiri i te turanga whatunga ki nga atanga whatunga katoa.
- Ko te whakamahi i nga kupuhipa me nga taviri kua tohua i roto i te waehere.
- Te whakamahi i te whaiaronga rangitahi kua tautuhia.
- Te whakamahi i te paahi me te haere tonu i roto i nga kaikawe otahi momo hopu-katoa;
- Te whakarewa i nga tono tukutuku i runga i te angamahi tukutuku Flask me te aratau patuiro kua whakahohea.
- Te whakamahi i nga tikanga whakahekenga raraunga kore haumaru.
- Ka whakamahi i nga mahi hash MD2, MD4, MD5 me SHA1.
- Te whakamahi i nga tohu tohu DES me nga tikanga whakamunatanga.
- Te whakamahi i te whakatinanatanga HTTPShononga haumaru i etahi momo putanga o Python.
- Te tautuhi i te konae:// kaupapa i urlopen.
- Te whakamahi i nga kaihanga tau pseudorandom i te wa e mahi ana i nga mahi cryptographic.
- Te whakamahi i te kawa Telnet.
- Te whakamahi i nga parser XML haumaru.
I tua atu, ka taea te tohu e 8 nga kohinga kino i kitea i roto i te whaiaronga PyPI. I mua i te tangohanga, neke atu i te 30 mano nga wa i tangohia ai nga kohinga raru. Hei huna i nga mahi kino me te karo i nga whakatupato mai i nga kaitirotiro pateko ngawari i roto i nga kete, i whakawaeheretia nga poraka waehere ma te whakamahi i te Base64 ka mahia i muri i te wetewete ma te waea eval.
Ko te noblesse, genesisbot, he, mamae, noblesse2 me noblessev2 pōkai kei roto waehere ki te haukoti tau kāri nama me kupuhipa rongoa i roto i Chrome me Edge pūtirotiro, me te whakawhiti tohu pūkete i te tono Discord me te tuku raraunga pūnaha, tae atu screenshots o tirotiro mata . Kei roto i nga kete pytagora me te pytagora2 te kaha ki te uta me te whakahaere i nga waehere kawe-tuatoru.
Source: opennet.ru