mitmproxy(一种用于分析 HTTP/HTTPS 流量的工具)的作者提请注意他的项目的一个分支出现在 Python 包的 PyPI(Python 包索引)目录中。 该分叉以类似的名称 mitmproxy2 和不存在的版本 8.0.1(当前版本 mitmproxy 7.0.4)进行分发,期望不专心的用户会将该包视为主项目的新版本(类型抢注)并想要尝试新版本。
就其构成而言,mitmproxy2 与 mitmproxy 类似,但恶意功能实现方面的变化除外。 这些更改包括停止设置 HTTP 标头“X-Frame-Options: DENY”(禁止处理 iframe 内的内容)、禁用针对 XSRF 攻击的保护以及设置标头“Access-Control-Allow-Origin: *”, “访问控制允许标头:*”和“访问控制允许方法:POST、GET、DELETE、OPTIONS”。
这些更改消除了对用于通过 Web 界面管理 mitmproxy 的 HTTP API 的访问限制,这允许位于同一本地网络上的任何攻击者通过发送 HTTP 请求来组织其代码在用户系统上的执行。
目录管理部门同意所做的更改可能被解释为恶意的,并且该软件包本身是试图以主项目为幌子推广另一个产品(软件包的描述表明这是 mitmproxy 的新版本,而不是 mitmproxy 的新版本)。叉)。 从目录中删除该包后,第二天一个新的包 mitmproxy-iframe 被发布到 PyPI 上,其描述也与官方包完全匹配。 mitmproxy-iframe 包现在也已从 PyPI 目录中删除。
来源: opennet.ru