Rapid7披露了远程代码执行缺陷
雅虎在主要周转计划中削减了职位并关闭Web房产
内部Verizon的超级碗控制中心
Natero为客户生命周期管理带来预测分析
研究表明,欧盟公司缓慢检测网络攻击
挑战者银行椋鸟获得英国银行许可证
北欧Cio采访:伯根大学托尔伯海姆
Facebook在监管崩溃后从印度撤回免费基础知识
特斯拉模型3是Elon Musk的下一个巨大的赌注(他自己的现金中的5.5亿美元)
您的Galaxy S7或S7 Edge有哪些芯片?
FINTECH彻底彻底改变了中东的银行业
报告要求“集体方法”到健康和关怀整合
北欧Cio采访:Vesa erolainen,博伊里
安全和隐私之间没有权衡,说Claude Moraes MEP
你的猫会喜欢LG的滚动机器人
Sandwell和West Birmingham NHS获得“预建”epr
劳里斯在攻击我们的信封指控中引渡了自杀风险
深入学习通过新的谷歌伙伴关系来到您的手机
自然资源威尔士在数字变换驱动器中采用Unit4 ERP
美国海关缉获了成千上万的悬浮板
Digital Greenwich与萨里大学加入5G智能城市测试的部队
存储Xerox将硬件和服务分成两家公司
谷歌纤维可免费选择经济适用房居民
IPA利率将几个政府项目作为红色或琥珀/红色项目项目
即将到来的Parallels Access的更新可以支持iPad Pro支持
Microsoft和LinkedIn:Nadella花了他的意思
Corvid的Andrew Nanson说,安全应该是由企业推动的
实时数据有助于管理菲律宾的流量
Microsoft为第三方文件共享供应商开辟了共同创作。借鉴,谷歌文档
开发人员的东西互联网获取新的频谱许可证
付款卡行业问题数据安全标准更新
研究人员说,来自Comodo的自定义网络浏览器造成安全威胁
美国监管机构:谷歌计算机可以符合汽车司机的资格
字母表股价下降,因为Q1收入令人失望
Microsoft修复了IE,Edge,Office,Windows,.NET Framework中的36个漏洞
Cisco-Jasper交易应该使企业IOT更安全
GigaClear击中了10,000牛津郡属性,超快宽带
Mark Zuckerberg概述了Facebook的未来
苹果锐化在印度的焦点与新地图开发中心
谷歌的Virustotal现在挑选了可疑的固件
等到4月依托隐私盾牌前,欧盟隐私看门狗警告
中东CIO面临着众多的数据挑战,因为区域市场成熟
Verizon告诉旧金山的巨大超级碗广告
FBI在第二案例中应用iPhone安全旁路
IT专家因窃取NHS计算机设备
Apttus正在做得很好,钢板收购尽管如此
Lloyds银行离岸更多的角色
国际IT贸易集团敦促公司为GDPR做好准备
Rackspace首次亮相私有云包,以推动企业采用OpenStack
Microsoft尝试使用TypeScript 1.8引诱JavaScript开发人员
您的位置:首页 >论坛 > 电子业界 >

Rapid7披露了远程代码执行缺陷

2021-06-15 11:44:03 [来源]:

Security公司Rapid7披露了OpenAPI规范或Swagge Code Generator的安全漏洞,用于NodeJS,PHP,Ruby和Java。

根据RAPID7研究人员,攻击者可以利用漏洞使远程执行远程执行,该研究人员已提出更改规范以修复漏洞。

研究人员还向美国提供了一项提议的技术工程研究所(SEI)的表机应急响应团队(CERT)的协调中心,并发布了Metasploit渗透测试框架的模块。

2016年1月,威尔摇摇晃晃的规范捐赠给开放的API倡议(OAI)和Openapi规范的基础,通常称为播放。

该漏洞披露符合RAPID7在初步尝试联系负责代码的人员后60天发布详细介绍漏洞的咨询的披露策略。

对于公司渴望为越来越需要的可扩展应用程序编程接口(API)部署和测试提供价值,使用可以轻松和Quickenthe开发,测试和可部署性的规范将具有高价值。

然而,RAPID7研究人员在以下这样的API文档/定义系统中表示,滥用了应考虑生成服务的工具和规范的信任。

根据研究人员的说法,恶意制作的Swagger文件可用于动态创建具有嵌入式任意代码的API客户端和服务器。

他们说,这是通过以下事实实现了一些解析器/生成器信任威格文档中的不充分消毒参数来生成代码库。

在客户端,存在在信任恶意摇摆文档到Compereany生成的代码基础上的漏洞,最常以动态生成的apiclient的形式。

在服务器端,在服务中消耗Swagger以动态生成和服务API客户端,服务器模拟UPS和测试规范的服务中存在漏洞。

RAPID7研究人员表示,对所有问题的缓解,包括在注射之前的正确逃逸参数,同时考虑到变量在内联代码创建中使用变量。

减轻还包括在适当的情况下,确保对API规范的信任的背景可以维护在已知的,易于可避单的情况下的远程代码执行的代码级别的代码。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。