Koox cilmi-baarayaal ah oo ka socda Jaamacadda Turku (Finland) ayaa daabacday natiijooyinka falanqaynta baakadaha ku jira kaydka PyPI ee isticmaalka dhismooyinka khatarta ah ee keeni kara baylahda. Intii lagu jiray falanqaynta 197 kun oo xirmo, 749 kun oo dhibaatooyin amni ah ayaa la ogaaday. 46% baakooyinka waxay leeyihiin ugu yaraan hal dhibaato. Dhibaatooyinka ugu caansan waxaa ka mid ah cilladaha la xiriira maaraynta ka baxsan iyo isticmaalka sifooyinka u oggolaanaya beddelka koodka.
749 kun oo dhibaato ah oo la aqoonsaday, 442 kun (41%) waxa lagu tilmaamay kuwa fudud, 227 kun (30%) dhibaato dhexdhexaad ah iyo 80 kun (11%) oo khatar ah. Xirmooyinka qaarkood ayaa ka soo dhex muuqda dadka oo ka kooban kumanaan dhibaatooyin ah: tusaale ahaan, xirmada PyGGI waxay aqoonsatay 2589 dhibaatooyin, oo inta badan la xiriira isticmaalka dhismaha "isku day-marka laga reebo-pass", iyo xirmada appengine-sdk waxay heshay 2356 dhibaatooyin. Dhibaatooyin badan ayaa sidoo kale ku jira genie.libs.ops, pbcore iyo genie.libs.parser xirmooyinka.
Waa in la ogaadaa in natiijooyinka la helay iyadoo lagu saleynayo falanqaynta iswada ee iswada, taas oo aan tixgelinaynin macnaha guud ee adeegsiga qaababka qaarkood. Sameeyaha qalabka burcadda, oo loo isticmaalay in lagu sawiro koodka, ayaa muujiyay ra'yiga in tirada saxda ah ee tirada saxda ah ee been-abuurka ah awgeed, natiijooyinka iskaanka aan si toos ah loogu tixgelin karin dayacanka iyada oo aan dib-u-eegis dheeraad ah lagu samayn arrin kasta.
Tusaale ahaan, falanqeeyuhu wuxuu u arkaa isticmaalka soo-saareyaal nambaro random ah oo aan la isku halayn karin iyo algorithms-ka xashiishta, sida MD5, inay tahay dhibaato amni, halka koodhka dhexdiisa algorithms-yadaas loo isticmaali karo ujeeddooyin aan saamaynaynin amniga. Falanqeeyaha ayaa sidoo kale u fiirsada habayn kasta oo xogta dibadda ah ee hawlaha aan ammaanka ahayn sida pickle, yaml.load, subprocess iyo eval dhibaato, laakiin isticmaalkan qasab ma aha in ay ku lug leeyihiin baylahnimada oo dhab ahaantii isticmaalka hawlahan waa la hirgelin karaa iyada oo aan khatar ammaan. .
Waxaa ka mid ah imtixaannada loo adeegsaday daraasadda:
- Isticmaalka hawlo aan badbaado lahayn exec, mktemp, eval, mark_safe, iwm.
- Goobta aan sugnayn ee xuquuqda gelitaanka faylalka.
- Ku dhejinta godka shabkada dhammaan is-dhex galka shabakada
- Isticmaalka furayaasha sirta ah iyo furayaasha si adag loogu qeexay koodka.
- Isticmaalka hagaha ku meel gaadhka ah ee horay loo sii qeexay.
- Isticmaalka kaadhka oo ku sii wad gacan-qablayaasha ka reeban dhammaan-qabashada;
- Daah-furka arjiyada shabakadda ee ku salaysan qaab-dhismeedka shabakadda Flask oo leh qaabka wax-ka-hortagga.
- Isticmaalka hababka kala-saar xogta aan badbaadada lahayn.
- Wuxuu adeegsadaa MD2, MD4, MD5 iyo SHA1 hawlaha xashiishka.
- Isticmaalka qaab-dhismeedyada DES ee ammaan-darrada ah iyo qaababka sirta ah.
- Isticmaalka hirgelinta isku xidhka HTTPS ee aan sugnayn ee noocyada Python.
- Ku qeexida faylka:: // nashqada urolopen.
- Isticmaalka koronto-dhaliyeyaasha nambarada beenta ah marka la qabanayo hawlaha cryptographic.
- Isticmaalka borotokoolka Telnet.
- Isticmaalka baarayaasha XML ee aan ammaan ahayn.
Intaa waxaa dheer, waxaa la ogaan karaa in 8 xirmo xaasidnimo ah laga helay buugga PyPI. Ka hor inta aan la saarin, xirmooyinka dhibaatada leh ayaa la soo dejiyey in ka badan 30 kun oo jeer. Si loo qariyo nashaadaadka xunxun iyo digniinta laga gudbo ee falanqeeyayaasha fudud ee baakadaha, baloogyada koodka ayaa lagu codeeyay iyadoo la isticmaalayo Base64 waxaana la fuliyay ka dib markii la go'aamiyo iyadoo la adeegsanayo wicitaanka eval.
Noblesse The, genesisbot, waa, xanuunsado, noblesse2 iyo noblesev2 xirmooyinka ku jira code si ay u dhexgalaan lambarada credit card iyo passwords lagu kaydiyaa Chrome iyo Edge daalacashada, iyo sidoo kale wareejinta calaamadihii account ka codsiga Discord iyo soo diri xogta nidaamka, oo ay ku jiraan screenshots ee content . Xirmooyinka pytagora iyo pytagora2 waxaa ka mid ahaa awoodda lagu shubo oo lagu fuliyo koodka cid saddexaad oo la fulin karo.
Source: opennet.ru