Turku (ဖင်လန်) တက္ကသိုလ်မှ သုတေသီအဖွဲ့တစ်ဖွဲ့သည် အားနည်းချက်များကို ဖြစ်ပေါ်စေနိုင်သည့် အန္တရာယ်ရှိသော အဆောက်အအုံများကို အသုံးပြုရန်အတွက် PyPI သိုလှောင်မှုတွင် ပက်ကေ့ဂျ်များ၏ ခွဲခြမ်းစိတ်ဖြာမှုရလဒ်များကို ထုတ်ပြန်ခဲ့သည်။ ပက်ကေ့ဂျ် 197 ကို ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း အလားအလာရှိသော လုံခြုံရေးပြဿနာပေါင်း 749 ကို ဖော်ထုတ်ခဲ့သည်။ ပက်ကေ့ဂျ်များ၏ 46% တွင် ယင်းပြဿနာ အနည်းဆုံးတစ်ခုရှိသည်။ အဖြစ်များဆုံးပြဿနာများထဲတွင် ခြွင်းချက်ကိုင်တွယ်ခြင်းနှင့် ကုဒ်အစားထိုးခြင်းခွင့်ပြုသည့်အင်္ဂါရပ်များအသုံးပြုခြင်းဆိုင်ရာ ချို့ယွင်းချက်များဖြစ်သည်။
ဖော်ထုတ်ခဲ့သည့် ပြဿနာပေါင်း ၇၄၉ဝဝဝ တွင် ၄၄၂ဝဝဝ (၄၁ ရာခိုင်နှုန်း) သည် အသေးအဖွဲအဖြစ်၊ ၂၂၇ဝဝဝ (၃၀ ရာခိုင်နှုန်း) အလယ်အလတ်ပြဿနာများအဖြစ်၊ ၈၀ဝဝဝ (၁၁ ရာခိုင်နှုန်း) သည် အန္တရာယ်ရှိသည်။ အချို့သော ပက်ကေ့ဂျ်များသည် လူစုလူဝေးမှ ထင်ရှားပေါ်လွင်ပြီး ပြဿနာပေါင်း ထောင်ပေါင်းများစွာ ပါဝင်သည်- ဥပမာ၊ PyGGI ပက်ကေ့ခ်ျတွင် ပြဿနာပေါင်း 749 ခုကို “try-exception-pass” တည်ဆောက်မှု အသုံးပြုခြင်းနှင့် အဓိကအားဖြင့် ဆက်စပ်နေပြီး appengine-sdk အထုပ်တွင် ပြဿနာပေါင်း 442 ကို တွေ့ရှိခဲ့သည်။ genie.libs.ops၊ pbcore နှင့် genie.libs.parser ပက်ကေ့ဂျ်များတွင် ပြဿနာအများအပြားလည်း ရှိနေပါသည်။
အချို့သောဖွဲ့စည်းပုံများ၏ ဆက်စပ်မှုကို ထည့်သွင်းစဉ်းစားခြင်းမရှိသည့် အလိုအလျောက် တည်ငြိမ်မှု ခွဲခြမ်းစိတ်ဖြာမှုအပေါ် အခြေခံ၍ ရလဒ်များကို ရရှိခဲ့ကြောင်း မှတ်သားထားသင့်သည်။ ကုဒ်ကိုစကင်န်ဖတ်ရန်အသုံးပြုသည့် bandit toolkit ၏ developer မှ မှားယွင်းသော positive အရေအတွက်များသောကြောင့်၊ ပြဿနာတစ်ခုစီ၏နောက်ထပ်လူကိုယ်တိုင်ပြန်လည်သုံးသပ်ခြင်းမရှိဘဲ အားနည်းချက်များကို တိုက်ရိုက်ထည့်သွင်းစဉ်းစားနိုင်မည်မဟုတ်ကြောင်း ထင်မြင်ချက်ထုတ်ဖော်ခဲ့သည်။
ဥပမာအားဖြင့်၊ ခွဲခြမ်းစိတ်ဖြာသူသည် ယုံကြည်စိတ်ချရခြင်းမရှိသော ကျပန်းနံပါတ်ဂျင်နရေတာများနှင့် MD5 ကဲ့သို့သော hashing algorithms များကို လုံခြုံရေးပြဿနာတစ်ခုအဖြစ် မှတ်ယူထားပြီး ကုဒ်တွင် လုံခြုံရေးမထိခိုက်စေသော ရည်ရွယ်ချက်များအတွက် အသုံးပြုနိုင်သည်။ ခွဲခြမ်းစိတ်ဖြာသူသည် pickle၊ yaml.load၊ subprocess နှင့် eval ကဲ့သို့သော မလုံခြုံသောလုပ်ဆောင်ချက်များတွင် ပြင်ပဒေတာ၏လုပ်ဆောင်ခြင်းမှန်သမျှကို ထည့်သွင်းစဉ်းစားသည်၊ သို့သော် ဤအသုံးပြုမှုသည် အားနည်းချက်တစ်ခုမျှမပါဝင်ဘဲ အမှန်တကယ်တွင် အဆိုပါလုပ်ဆောင်ချက်များကို အသုံးပြုခြင်းသည် လုံခြုံရေးခြိမ်းခြောက်မှုမရှိဘဲ အကောင်အထည်ဖော်နိုင်သည်။ .
လေ့လာမှုတွင်အသုံးပြုသောစမ်းသပ်မှုများအနက်
- မလုံခြုံနိုင်သော လုပ်ဆောင်ချက်များကို exec၊ mktemp၊ eval၊ mark_safe စသည်ဖြင့် အသုံးပြုခြင်း။
- ဖိုင်များအတွက် ဝင်ရောက်ခွင့်ဆိုင်ရာ လုံခြုံမှုမရှိသော ဆက်တင်။
- ကွန်ရက်အင်တာဖေ့စ်အားလုံးသို့ ကွန်ရက်ပေါက်ပေါက်တစ်ခုကို ချိတ်ဆက်ခြင်း။
- ကုဒ်တွင် သတ်မှတ်ထားသော စကားဝှက်များနှင့် သော့များကို တင်းကြပ်စွာ အသုံးပြုခြင်း။
- ကြိုတင်သတ်မှတ်ထားသော ယာယီလမ်းညွှန်ကို အသုံးပြုခြင်း။
- pass ကိုအသုံးပြုပြီး catch-all-style exception handlers တွင် ဆက်လက်လုပ်ဆောင်ပါ။
- Flask ဝဘ်ဘောင်ဘောင်အပေါ် အခြေခံ၍ အမှားရှာပြင်ခြင်းမုဒ်ကို ဖွင့်ထားခြင်းဖြင့် ဝဘ်အက်ပ်လီကေးရှင်းကို စတင်ခြင်း။
- မလုံခြုံသောဒေတာကို ဖယ်ထုတ်ခြင်းနည်းလမ်းများကို အသုံးပြုခြင်း။
- MD2၊ MD4၊ MD5 နှင့် SHA1 hash လုပ်ဆောင်ချက်များကို အသုံးပြုသည်။
- မလုံခြုံသော DES ciphers နှင့် ကုဒ်ဝှက်ခြင်းမုဒ်များကို အသုံးပြုခြင်း။
- Python ဗားရှင်းအချို့တွင် မလုံခြုံသော HTTPSConnection အကောင်အထည်ဖော်မှုကို အသုံးပြုခြင်း။
- urlopen တွင် file:// scheme ကို သတ်မှတ်ခြင်း။
- ကုဒ်ဝှက်ခြင်းဆိုင်ရာ လုပ်ငန်းဆောင်တာများကို လုပ်ဆောင်သည့်အခါ pseudorandom နံပါတ်ဂျင်နရေတာများကို အသုံးပြုခြင်း။
- Telnet ပရိုတိုကောကို အသုံးပြုခြင်း။
- မလုံခြုံသော XML ခွဲခြမ်းစိတ်ဖြာမှုများကို အသုံးပြုခြင်း။
ထို့အပြင်၊ PyPI လမ်းညွှန်တွင် အန္တရာယ်ရှိသော ပက်ကေ့ခ်ျ ၈ ခုကို တွေ့ရှိခဲ့ကြောင်း မှတ်သားနိုင်ပါသည်။ မဖယ်ရှားမီတွင် ပြဿနာရှိသော ပက်ကေ့ခ်ျများကို အကြိမ် 8 ကျော် ဒေါင်းလုဒ်လုပ်ခဲ့သည်။ အထုပ်များတွင် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို ဖုံးကွယ်ရန်နှင့် ရိုးရှင်းသော တည်ငြိမ်မှု ခွဲခြမ်းစိတ်ဖြာသူများထံမှ သတိပေးချက်များကို ရှောင်ကွင်းရန်၊ ကုဒ်တုံးများကို Base30 ကို အသုံးပြု၍ ကုဒ်လုပ်ကာ eval ခေါ်ဆိုမှုကို အသုံးပြု၍ ကုဒ်ကုဒ်လုပ်ပြီးနောက် လုပ်ဆောင်ခဲ့သည်။
noblesse၊ genesisbot၊ တို့သည် ဆင်းရဲဒုက္ခ၊ noblesse2 နှင့် noblessev2 ပက်ကေ့ဂျ်များတွင် Chrome နှင့် Edge ဘရောက်ဆာများတွင် သိမ်းဆည်းထားသော စကားဝှက်နံပါတ်များနှင့် စကားဝှက်များကို ကြားဖြတ်ရန် ကုဒ်များ ပါ၀င်သည့်အပြင် Discord အပလီကေးရှင်းမှ အကောင့်တိုကင်များကို လွှဲပြောင်းပြီး ဖန်သားပြင်အကြောင်းအရာများ၏ ဖန်သားပြင်ဓာတ်ပုံများအပါအဝင် စနစ်ဒေတာများ ပေးပို့ပါသည်။ pytagora နှင့် pytagora2 ပက်ကေ့ဂျ်များတွင် ပြင်ပကုမ္ပဏီမှ စီမံလုပ်ဆောင်နိုင်သော ကုဒ်ကို တင်ရန်နှင့် လုပ်ဆောင်နိုင်မှု ပါဝင်သည်။
source: opennet.ru